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内 容 简 介 


信息 安全 是 计算 机 、 通 信 及 相关 专业 的 一 个 新 兴 热 点 。 本 书 以 作者 十 多 年 的 教学 经 验 为 基础 ,结合 计 
算 机 专业 的 特点 ,汇集 了 许多 学 生 感 兴趣 的 主题 ,力图 浅显 易 懂 、 循 序 渐进 ,并 重视 实例 和 应 用 ,重视 点 和 
面 的 结合 。 

为 便于 安排 教学 ,本 书 的 内 容 一 共 分 为 10 章 。 第 1 章 介 绍 一 些 常见 的 古典 密码 系统 算法 ; 第 2 章 介 
绍 包括 DES, AES 在 内 的 对 称 密码 系统 和 国内 教材 很 少 提 及 的 加 密 与 解密 模式 ; 第 3 一 5 章 介绍 公 钥 密码 
系统 ,其 中 ,第 3 章 的 公 钥 密码 系统 基于 大 数 因 式 分 解 问题 ,第 4 章 的 公 钥 密码 系统 基于 离散 对 数 问题 ,第 
5 章 的 一 些 公 钥 密码 系统 则 基于 其 他 的 完全 NP 问题 ; 第 6 章 介绍 数字 签名 的 原理 ; 第 7 章 介 绍 Hash K 
数 以 及 基于 Hash 函数 和 对 称 密码 算法 的 消息 验证 码 技术 ; 第 8 章 介绍 密 钥 管 理 和 PKI 技术 ; 第 9 章 以 专 
题 的 形式 介绍 目前 计算 机 安全 应 用 领域 的 一 些 主流 技术 ,包括 口令 安全 、VPN 等 ; 第 10 章 基 于 Java 平台 
介绍 密码 学 及 安全 的 编程 框架 和 技术 。 以 上 各 章 中 ,第 1 一 7 章 偏重 理论 与 原理 ; 第 8 章 和 第 9 章 偏 重 于 
应 用 ; 第 10 章 偏重 于 编程 。 

本 书 覆盖 较 多 的 知识 点 ,可 以 作为 高 等 院 校 计算 机 系 教材 ,同时 , 书 中 提供 大 量 的 数据 实例 ,也 可 以 作 
为 教师 .科研 人 员 以 及 兴趣 爱好 者 的 参考 书 。 


本 书 封 面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举报 电话 : 010-62782989 13701121933 
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出 版 说 明 


四 王 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突 出 ,非法 访问 、 信 息 窃取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 ,数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 深浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 耕 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 ,实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安 全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、, 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 .课程 体系 的 研究 "等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 .创新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知 识 、 能 力 ,素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 教 
学 参考 书 , 文 字 教 材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 .以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


21 世纪 高 等 学 校 信息 安全 专业 规划 教材 
联系 人 : ERIGI weijj@ tup. tsinghua. edu. cn 
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尽管 从 事 ' “计算 机 安全 与 保密 ”课程 的 一 线 课堂 教学 已 超过 十 年 ,但 当 我 们 重新 审视 这 门 
课程 的 时 候 , 仍 感觉 不 是 那么 随心 所 欲 。 与 操作 系统 “数据 结构 ”等 计算 机 专业 课程 
相 比 ,“ 计 算 机 安全 与 保密 ”课程 总 显得 有 些 特别 。 

“计算 机 安全 与 保密 ”课程 并 不 是 自 成 体系 ,涉及 许多 其 他 的 课程 ,如 “抽象 代数 ”、 
“操作 系统 ”“ 计 算 机 网 络 ”“ 数 据 库 理论 与 应 用 ”“ 信 息 论 与 编码 ”等 ,似乎 很 复杂 、 很 
UE. 与 此 形成 反差 的 是 ,每 年 开课 时 总 能 吸引 不 少 没有 太 多 计算 机 专业 基础 的 其 他 
专业 的 同学 ,他 们 来 到 课堂 上 津津 有 味 地 旁听 。 

“计算 机 安全 与 保密 ”的 基础 实验 之 一 “AES 加 密 ”, 对 于 计算 机 专业 的 同学 来 说 ， 
大 多 数 都 需要 3 天 左右 ,这 已 经 超过 了 为 整个 课程 配 的 上 机 总 时 长 。 一 些 同学 认为 这 
个 实验 必须 做 ,和 否则 相关 部 分 的 课程 就 和 白 上 了 :; 另 一 些 同学 则 认为 这 个 实验 耗 时 太 长 ， 
还 是 不 做 为 好 。 

同学 们 对 这 门 课 的 侧重 点 也 存在 较 大 分 歧 。 一 些 同 学 认为 应 侧重 于 应 用 ,如 怎样 
攻击 或 防范 攻击 是 很 重要 的 ; 另 一 些 同学 却 认为 真正 有 趣 的 还 是 那些 玄妙 的 加 密 、 解 
密 方案 。 

感 兴趣 的 同学 很 多 且 分 歧 较 大 ,造成 了 该 课程 教学 中 的 一 个 困难 , 即 难以 找到 一 本 
合适 的 教材 。 从 教学 实践 上 来 看 ,这 门 课 理 想 的 教材 应 该 至 少 具备 以 下 的 特点 : 

CD 内 容 编排 要 合理 。 既 能 使 同学 们 在 计算 机 安全 方面 提高 素养 和 能 力 , 又 能 使 
没有 太 多 基础 的 同学 保持 浓厚 兴趣 并 积极 参与 实践 。 

(2) 重视 方法 和 思路 胜 过 具体 知识 和 手段 。 陆 续 有 一 些 方案 被 破解 或 认为 不 那么 
安全 ,但 解决 安全 问题 的 思路 不 会 有 大 的 变化 。 

(3) 理论 与 实践 并 重 。 

在 整理 了 以 往 的 讲义 和 学 生 问 答 后 ,我 们 决定 编写 本 教材 。 受 限于 水 平和 能 力 ,无 
法 将 教材 编 得 这 么 理想 ,但 这 确实 是 我 们 不 断 进步 的 方向 。 

关于 本 教材 ,还 要 做 以 下 说 明 : 

CD 为 使 本 书 尽 可 能 地 系统 且 全 面 ,本 书 中 个 别 部 分 参考 了 国外 教材 中 的 实例 ,但 
本 书 中 绝 大 多 数 构造 的 实例 来 源 于 课堂 教学 或 实践 教学 ,实例 中 的 数据 也 均 通过 编程 
得 到 。 

(2) 为 了 帮助 读者 深入 研究 , 某 些 重要 的 算法 (如 椭圆 曲线 ?提供 了 非常 大 的 数据 
实例 。 读 者 不 必 对 这 些 “ 大 数 "产生 慌 惧 或 反感 .因为 相关 部 分 往往 还 有 一 些小 数据 的 
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实例 。 而 且 即 便 是 跳 过 这 些 实例 ,也 不 会 影响 对 全 书 的 理解 。 

(3)“ 香 农 理论 ”虽然 是 一 个 重要 的 理论 基础 ,但 根据 同学 们 的 建议 , 移 到 了 附录 A 中 。 
跳 过 “香农 理论 ”并 不 影响 对 全 书 的 理解 。 

(4) 教师 可 根据 总 课时 安排 教学 内 容 。 课 时 较 多 时 ,可 逐 章 讲授 。 课 时 不 多 的 情况 下 ， 
可 结合 课时 要 求 及 侧重 点 选择 以 下 的 组 合 : 

。 第 1 章 一 第 2 章 一 第 3 章 一 第 6 章 习 第 7 章 一 第 9 章 

。 第 1 章 一 第 2 章 一 第 3 章 一 第 6 章 一 第 7 章 一 第 10 章 

。 第 1 章 ~ 第 2 章 ~ 第 3 章 一 第 4 章 一 第 5 章 一 第 10 章 

. 第 1 章 ~~ 第 2 章 ~ 第 3 章 ~ 第 10 章 

。 第 1 章 ~~ 第 2 章 ~ 第 3 章 ~~ 第 4 章 ~~ 第 5 章 

。 第 1 章 ~~ 第 2 章 ~~ 第 3 章 ~~ 第 6 章 -~ 第 7 章 

"第 1 章 ~~ 第 2 章 ~ 第 3 章 

最 后 ,感谢 过 去 几 年 给 这 门 课 提出 各 种 意见 的 同学 们 ,同学 们 的 热情 和 求知 精神 给 予 我 
们 编写 教材 的 动力 。 还 要 感谢 为 本 教材 编写 提供 帮助 的 编辑 ,老师 和 研究 生 。 特 别 感谢 张 
小 捅 , 张 瑞 霞 . 吕 安 强 等 几 位 研究 生 ,他 们 的 录入 和 校对 工作 对 本 教材 的 编写 帮助 很 大 。 

由 于 本 教材 涉及 知识 面 较 广 ,难度 较 大 ,不 足 之 处 在 所 难免 。 为 便于 以 后 教材 的 修订 ， 
恳请 专家 教师 及 各 类 读者 多 提 宝 贵 意见 。 
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进入 21 世纪 后 ,信息 处 理 和 通信 业务 呈现 出 高 速 增长 的 态势 。 人 们 的 生活 越 来 越 依赖 
于 计算 机 和 通信 ,人 们 的 工作 也 越 来 越 多 地 借助 计算 机 网 络 来 进行 。 各 类 信息 (如 文本 、 多 
媒体 ) 以 二 进 制 流 的 形式 在 网 络 上 穿梭 。 如 果 不 采取 任何 安全 措施 ,敏感 信息 很 容易 被 获 
取 。 而 另 一 方面 出 于 开放 互联 的 考虑 ,大 家 又 不 可 能 也 不 愿意 在 隔离 的 环境 里 受 限 地 使 用 
计算 机 网 络 。 

幸运 的 是 数学 .密码 学 理论 和 信息 安全 技术 可 以 帮助 解决 计算 机 、 网 络 和 通信 中 的 关键 
安全 问题 。 

当 人 们 谈 及 计算 机 安全 时 ,会 发 现 随 着 计算 机 的 发 展 ,有 关 计算 机 安全 的 事件 日 渐 增 
多 。 例 如 ,1939 年 第 二 次 世界 大 战 爆发 期 间 , 正 在 为 英 
国 国家 密码 机 构 工 作 的 图 灵 成 功 破译 了 德国 军 方 使 用 
的 著名 通信 密码 系统 *Enigma”, 如 图 1 所 示 ; 1970 年 ， 
美国 威斯康星 大 学 的 国防 数学 研究 中 心 遭 到 炸弹 袭 
击 , 计 算 机 与 积累 了 20 多 年 的 数据 被 炸 毁 ; 1982 年 ,只 
有 15 岁 的 理 查 德 。 斯 伦 塔 (Richard Shrenta) 针 对 苹果 
Apple [计算 机 编写 了 名 为 Elk Cloner 的 病毒 ,被 认为 
是 全 球 第 一 款 个 人 计算 机 病毒 ; 1996 年 2 月 , Master 
Card 和 Visa 国际 信用 卡 组 织 与 技术 合作 伙伴 GTE、 
Netscape, IBM 等 一 批 跨国 公司 共同 开发 了 安全 电子 
交易 规范 (SET); 1999 年 9 月 13 日 ,我 国正 式 发 布 了 


标准 GB17859 一 1999“ 计 算 机 信息 系统 安全 保护 等 级 
划分 准则 ”(Classified Criteria for Security Protection 


图 1 Enigma 系统 


of Computer Information System) ++ 

这 些 与 计算 机 安全 相关 的 事件 ,反映 了 计算 机 安全 领域 的 主题 。 可 以 看 到 ,计算 机 安全 
的 研究 内 容 包 括 计 算 机 数据 安全 .计算 机 物理 安全 .计算 机 安全 管理 等 ,涉及 的 范围 非常 
Tu. 

本 书 在 内 容 上 不 求 面面俱到 ,主要 侧重 于 介绍 密码 学 基本 原理 和 以 密码 学 为 基础 的 计 
算 机 系统 安全 ; 而 关于 计算 机 物理 安全 .计算 机 安全 管理 .计算 机 病毒 等 内 容 , 则 不 在 本 书 
范围 之 内 。 

de 1 总 结 了 计算 机 系统 安全 的 一 些 重要 主题 。 限 于 篇 幅 , 标 有 x* 号 的 内 容 在 本 书 中 并 
没有 详细 介绍 , 感 兴趣 的 读者 可 以 查阅 相关 文献 。 

密码 学 在 计算 机 系统 安全 领域 中 起 着 举足轻重 的 作用 。 一 方面 ,在 已 有 的 与 计算 机 系 
统 安 全 相关 的 各 类 协议 和 标准 中 , 绝 大 多 数 都 以 密码 学 为 基础 。 另 一 方面 , 仍 有 不 少 计 算 机 
系统 安全 的 遗留 问题 或 新 的 应 用 需求 需要 借助 密码 学 寻求 解决 方案 。 


2 计算 机 安全 与 保密 


RI 计算 机 系统 安全 的 主题 


x B 说 明 
隐私 或 保密 仅 让 授权 的 实体 得 到 信息 ,以 保持 信息 的 机 密 性 
数据 完整 性 保证 信息 不 被 未 授权 的 更 改 
实体 认证 或 者 身份 鉴别 实体 身份 验证 (如 人 、 计 算 机 终端 ,信用卡 等 ) 
消息 认证 验证 信息 的 来 源 , 即 原始 数据 认证 
签名 一 种 把 信息 与 实体 绑 定 的 手段 
授权 ” 允许 实体 进行 操作 或 成 为 某 个 角色 
验证 提供 授权 实体 在 有 效 时 间 内 使 用 信息 或 资源 的 一 种 手段 
访问 控制 * 限制 资源 访问 ,资源 只 允许 被 授权 的 实体 访问 
证 书 一 个 可 信赖 机 构 提 供 的 证 明文 件 
HE TRU 记录 信息 生成 或 者 存在 的 时 间 
见证 * 由 创建 者 之 外 的 实体 证 明 信 息 的 有 效 性 
收据 * 确认 信息 已 经 收 到 
证 实 * 确认 服务 已 经 提供 
Ts 让 实体 得 到 合法 授权 的 一 种 手段 
Eg 在 一 些 过程 中 隐藏 实体 的 身份 
不 可 抵赖 性 避免 否认 先前 的 承诺 或 者 行为 
撤销 ” 一 般 指证 书 或 授权 的 取消 


与 计算 机 的 产生 相 比 ,密码 学 可 谓 历史 悠久 。 本 书 中 介绍 的 密码 算法 可 以 追溯 到 古 罗 
马 时 期 ,而 密码 术 思 想 的 出 现 甚至 还 要 更 早 。 

根据 (高 卢 战 记 》 的 记载 ,凯撒 大 帝 常 常 在 情报 传输 中 采用 一 种 神奇 的 加 密 方法 : 将 书 
信 中 用 到 的 所 有 字母 按 字母 表 顺 序 推 后 三 位 ,信件 完成 后 将 信件 卷 起 ,然后 将 厚 厚 的 蜡 滴 于 
封口 处 ,在 蜡 没 干 之 前 ,再 压 上 自己 的 私 印 。 接 收 者 收 到 信件 以 后 , 先 检查 螨 封 是 否 完整 以 
及 蜡 印 是 否 是 凯撒 的 印章 ,然后 拆 开 信件 ,将 信 中 所 有 字母 按 字母 表 顺 序 提前 三 位 ,重新 生 
成 信件 内 容 。 

在 凯撒 密码 中 ,原始 的 信息 经 加 密 后 发 出 ,加 密 前 的 信息 称 为 明文 (Plain Text)。 加 密 
规则 (Encryption Rule) 是 字母 顺序 推 后 三 位 ,如 用 DD 替代 A、 用 下 替代 C。 收 到 的 信息 无 法 
理解 ,因为 它 是 经 过 加 密 的 信息 , 称 为 密 文 (Cipher Text)。 要 想 还 原 出 原来 的 明文 信息 , 需 
要 套用 解密 规则 (Decryption Rule) ,解密 规则 与 加 密 规 则 正好 相反 ,如 用 A 替代 DUI C H 
代 下。 解密 后 重要 信息 跃然 纸 上 , 表 2 中 经 解密 后 的 明文 拉丁 文 意思 是 “高 卢 全 境 分 为 3 个 


R2 凯撒 密码 实例 
收 到 的 信息 R p q l|! d J d o 
还 原 的 信息 O m i ia G a |! Il i s e s t D i 
收 到 的 信息 y- wd l-g ad 
还 原 的 信息 e-i 3& w i m P^ oa o * ck o x xk om. $ 


凯撒 大 帝 提供 的 这 种 加 密 解 密 算 法 ,简单 而 实用 ,被 称 为 凯 撤 密码 。 从 现代 的 观点 来 
看 ,凯撒 密码 仅仅 是 单 表 代 换 密码 系统 的 一 个 特例 。 
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早期 的 密码 学 能 够 体现 出 一 种 艺术 之 美 ,但 安全 性 不 高 科学 性 不 强 。 

1948 年 ,香农 (Claude Shannon) 发 表 了 一 篇 具有 里 程 碑 意 义 的 论文 一 一 “通信 的 数学 
Jie" CA Mathematical Theory of Communication) ,宣告 了 信息 论 的 诞生 。 紧 接着 他 又 发 
表 了 一 篇 名 为 “保密 系统 的 通信 理论 ”(Communication Theory of Secrecy Systems) lf] i& 
X ,该 论文 用 信息 论 的 观点 全 面 地 论述 信息 保密 问题 ,将 密码 学 的 研究 从 古典 的 朴素 研究 引 
人 到 科学 研究 的 轨道 上 ,同时 香农 理论 也 为 对 称 密码 学 的 构造 提供 了 直接 的 理论 基础 。 从 
此 ,密码 学 成 为 一 门 真正 的 科学 。 

图 2 是 Shannon 在 论文 中 提出 的 通用 保密 系统 方案 ,方案 中 已 明确 引入 了 攻击 者 
(Enemy Cryptanalyst) 的 角色 。 
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密码 学 沿 着 对 称 密码 体制 的 方向 缓慢 发 展 ,直到 公 钥 密码 体制 的 突然 出 现 。1976 年 ， 
Diffie 与 Hellman 合作 发 表 了 一 篇 经 典 论 文 “密码 学 的 新 方向 ”(Nerw Directions in Crypto- 
graphy), 提 出 一 种 可 以 使 通信 双方 在 不 安全 信道 上 进行 的 安全 密 钥 协 商 协议 (Diffie- 
Hellman 协议 ) ,并 在 此 基础 上 提出 了 公 钥 密码 算法 的 思想 和 概念 。 这 篇 论文 也 标志 着 传统 
密码 学 开始 向 现代 密码 学 的 转变 。 

图 3 是 Diffie 与 Hellman 在 论文 中 提出 的 公 钥 密码 系统 方案 ,使 用 两 个 不 同 的 密 钥 分 
别 用 于 加 密 和 解密 ,从 而 不 必 再 维护 传递 密 钥 的 信道 ,这 是 密码 学 的 一 项 创举 。 


密码 破译 者 | 一 ~ 
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图 3 Diffie 与 Hellman 的 公 钥 密码 系统 方案 


1978 年 ,Rivest、Shamir 和 Adleman 基于 大 整数 因 式 分 解难 题 , 提 出 第 一 种 实用 的 公 钥 
密码 体制 方案 , 称 为 RSA 密码 体制 。 此 后 ,陆续 有 新 的 公 钥 密码 体制 被 提出 ,如 1978 年 提 
出 的 基于 背包 问题 的 Merkle-Hellman 背包 公 钥 密码 体制 .1985 年 提出 的 基于 离散 对 数 难 
题 的 ElGamal 公 钥 密码 体制 。 


4 计算 机 安全 与 保密 


公 钥 密码 体制 的 作用 并 不 局 限于 加 密 解 密 , 它 的 另外 一 个 重要 贡献 是 数字 签名 。1991 
年 ,第 一 个 关于 数字 签名 的 标准 (ISO/IEC 9796) 应 运 而 生 。 起 初 的 标准 基于 RSA ,但 1994 
年 后 基于 ElGamal 的 数字 签名 更 受 青 睐 。 

随 着 计算 机 科学 与 技术 的 发 展 ,密码 学 在 信息 安全 领域 也 发 挥 出 越 来 越 重要 的 作用 。 
无 论 是 数据 加 密 、 防 复 改 还 是 身份 验证 ,到 处 都 能 看 到 密码 学 的 应 用 。 

本 书 正 是 按照 密码 学 发 展 的 过 程 和 思路 ,由 浅 入 深 地 介绍 密码 学 的 基本 理论 。 在 此 基 
础 上 ,进一步 介绍 密码 学 在 计算 机 安全 中 的 应 用 。 

本 书 的 内 容 编排 如 下 : 

第 1 章 从 古典 密码 系统 开始 介绍 密码 学 的 基本 概念 和 历史 上 的 一 些 经 典 算法 。 

第 2 章 重点 讲解 DES, AES 等 对 称 密码 系统 ,以 及 ECB、CBC 等 加 密 解 密 模式 。 

第 3E 讲解 基于 大 数 因 式 分 解 问题 的 RSA, Rabin 公 钥 密码 系统 。 

第 4 章 ”讲解 基于 离散 对 数 问题 的 ElGamal、ECC 公 钥 密码 系统 。 

第 5 章 介绍 包括 Knapsack, McEliece, NTRU 等 在 内 的 其 他 公 钥 密码 系统 。 

第 6 章 重点 介绍 数字 签名 的 原理 。 

第 7 章 介绍 Hash 函数 以 及 基于 Hash. 函数 和 对 称 密码 算法 的 消息 验证 码 技术 。 

第 8 章 介绍 密 钥 的 管理 以 及 PKI 技术。 

第 9 章 以 专题 的 形式 讲解 目前 计算 机 安全 的 一 些 技术 ,包括 口令 安全 `VPN 等 。 

第 103€ 基于 Java 平台 ,介绍 相关 的 密码 学 和 安全 编程 框架 和 技术 。 

为 了 让 读者 掌握 计算 机 安全 和 保密 的 相关 知识 和 思想 ,在 学 习 方 法 上 给 出 以 下 建议 : 

CD 尽 可 能 深入 地 学 习 本 书 的 数学 基础 课程 : 抽象 代数 。 无 论 是 对 称 密码 体制 的 标准 
AES, 还 是 众多 的 公 钥 密码 体制 ,大 多 数 的 算法 都 建立 在 抽象 代数 基础 之 上 。 

(2) 要 理解 本 书 中 的 各 种 概念 、 结 论 和 算法 ,实践 必 不 可 少 。 大 多 数 情况 下 ,本 书 提供 
了 具体 的 例子 。 但 即便 如 此 ,读者 还 应 该 自己 更 换 参 数 , 多 练 多 算 多 想 。 

(3) 计算 机 专业 的 读者 最 好 通过 上 机 编程 来 实现 书 中 的 算法 ,以 增强 对 算法 的 理解 。 
由 于 有 些 算法 过 于 复杂 不 易 调试 ,读者 可 以 参考 书 中 一 些 实际 算法 的 中 间 过 程 。 


第 1 章 古典 密码 系统 


可 以 将 香农 在 1948 年 发 表 的 论文 “保密 系统 的 通信 理论 "作为 里 程 碑 ,之 前 的 密码 学 统 
称 为 古典 密码 学 。 古 典 密码 算法 花样 繁多 ,简单 而 有 趣 。 


1.1 密码 系统 基本 概念 


在 介绍 古典 密码 算法 之 前 ,首先 对 各 种 古典 密码 算法 进行 一 个 简单 的 分 类 。 

从 加 密 手 段 分 类 ,古典 密码 算法 有 换 位 (Transposition) 密 码 和 代 换 (Substitution) 密码 
两 种 。 

换 位 密码 算法 通过 对 明文 的 字母 位 置 进行 交换 实现 加 密 。 

例 1.1 helloworld->hleolrowld。 

观察 字母 的 位 置 变化 ,可 以 看 到 明文 的 第 2 个 字母 与 明文 的 第 3 个 字母 交换 ,明文 的 第 
4 个 字母 与 明文 的 第 5 个 字母 交换 ,明文 的 第 6 个 字母 与 明文 的 第 8 个 字母 进行 交换 。 

为 了 便于 分 析 ,本 章 中 对 于 古典 密码 算法 中 的 字母 都 进行 统一 的 编码 。 

换 位 密码 编码 规则 如 表 1. 1 所 示 。 

表 1.1 换 位 密码 编码 规则 


CH |a b ce d e f g h i.j k Il m n o p q r s t u v w x y z 


数字 |0 12 34 56 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 


本 书 中 忽略 字母 的 大 小 写 ,如 果 不 忽略 ,将 有 52 个 编码 。 

按照 编码 规则 ,可 以 对 helloworld 进行 编码 , 即 (7,4,11,11,14,22,14,17,11,3)。 

假设 明文 长 度 为 10 ,那么 所 有 长 度 为 10 的 明文 有 26" 种 ,于 是 称 这 26" 种 明文 构成 的 
集合 形成 明文 空间 。 

经 过 换 位 后 ,得 到 的 密 文 长 度 也 为 10, 所 有 密 文 的 可 能 性 也 有 26" 种 ,于 是 称 这 26 种 
密 文 构成 的 集合 形成 密 文 空间 。 

也 可 以 用 和 矩阵 运算 来 表示 换 位 密码 的 规则 : 

设 明文 zx=(7,4,11,11,14,22,14,17,11,3), 则 密 文 

j= gs Pe 

可 见 , 在 这 个 算法 中 , P. 是 加 密 的 关键 要 素 , 称 为 密 钥 。 所 有 可 能 的 密 钥 也 构成 一 个 集合 ， 
这 个 集合 形成 密 钥 空间 。 

接收 者 得 到 密 文 后 .需要 解密 。 在 换 位 密码 算法 中 ,解密 是 加 密 的 换 位 逆 过 程 。 具体 做 
法 是 密 文 的 第 3 个 字母 与 密 文 的 第 2 个 字母 交换 ; 密 文 的 第 5 个 字母 与 密 文 的 第 4 个 字母 
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交换 ; 密 文 的 第 8 个 字母 与 密 文 的 第 6 个 字母 交换 。 
当然 解密 过 程 也 可 以 通过 和 矩阵 运算 来 表示 , 即 : 
t= 

无 论 是 哪 种 密码 系统 ,一般 都 包含 上 面 提 到 的 要 素 。 

下 面 给 出 密码 系统 的 定义 : 

一 个 加 密 与 解密 的 完整 体系 称 为 密码 系统 或 密码 体制 (Crypto System)。 一 个 密码 体 
制 由 明文 空间 P、 密 文 空间 C、 密 钥 空 间 K、 加 密 算法 集 已 和 解密 算法 集 D 组 成 的 五 元 组 
(P,C,K ,E,D) 构 成 。 

(1) 明文 空间 P: 作为 加 密 输入 的 原始 信息 m 称 为 明文 。 所 有 可 能 明文 的 集合 称 为 明 
文 空 间 ,通常 用 已 表示 。 

(2) 密 文 空间 C. 明文 经 加 密 变换 后 的 数据 c 称 为 密 文 。 所 有 可 能 密 文 的 集合 称 为 密 
文 空间 ,通常 用 C 表示 。 

(3) 密 钥 空间 K 密 钥 人 是 参与 密码 变换 的 参数 。 一 切 可 能 密 钥 构 成 的 集合 称 为 密 钥 
空间 (Keyspace) ,通常 用 KK 表示 。 

OD 加 密 算 法 集 E. 任意 给 定 密 钥 E € K ,在 加 密 算法 集 E 中 存在 唯一 的 加 密 算法 e, € 
E:P>C, 将 明文 pE 变换 为 密 文 <EC。 对 明文 p 进行 变换 的 过 程 称 为 加 密 (Encryption) 。 

CO 解密 算法 集 D: 任意 给 定 密 钥 RE K ,在 加 密 算法 集 D 中 存在 唯一 的 解密 算法 dE 
D:C>P, 将 密 文 c€ C 变换 为 明文 p€ P。 对 密 文 c 进行 变换 的 过 程 称 为 解密 (Decryption) 。 

有 了 数学 概念 后 ,下 面 重新 来 定义 换 位 密码 系统 。 

换 位 密码 系统 : 明文 空间 和 密 文 空间 都 是 Zr ,明文 用 (zi ,zo，… ,zn) 表 示 , 密 文 用 (y1， 
ost ,ym) 表 示 , 设 密 钥 为 k, 则 : 

加 密 算法 : 

CYS yat syn) = (Tka) TKD **** Thm) ) 
解密 算法 : 
(Ti19T2 tttm) = (VD S YeD s*** s Y oo) 
其 中 ,k t e k WA. 
Z, 表示 和 集合 {0,1,…,n 一 1}。 
例 1.2 在 换 位 密码 算法 中 ,明文 是 olympic”, 求 其 密 文 。 


写成 编码 的 形式 为 : 
(14,11,24,12,15,8,2) 
设 密 钥 为 &, 可 以 用 一 个 换 位 矩阵 来 表示 : 
0100000 
0001000 
0000001 
P,—-|0010000 
0000010 
1000000 
0000100 


加 密 算 法 : 


第 1 章 古典 密码 系统 7 


Cyi s yos Yao Jas Ys s Yes yr). = XP, = (Cae ema edo Xa 9X6 9X1 T5 ) 


生成 密 文 的 编码 : 


(11,12,2,24,8,14,15) 
即 “lmcyiop”。 
解密 算法 : 
(Zz19T2 Xa Xa s5 326987) = yPx! = (Yes Y1 Yao Ya s Yos ys s ys) 


X8 Ji th B] 3c" olympic" , 


1.2. 移 位 密码 系统 


与 换 位 密码 系统 不 同 , 代 换 密码 系统 中 的 密 文 与 明文 的 关系 不 是 位 置 上 的 变化 ,而 是 编 
码 上 的 变化 。 

根据 密码 系统 加 解密 时 使 用 替换 表 多 少 不 同 , 代 换 密码 系统 可 以 分 为 单 表 代 换 密码 系 
统 和 多 表 代 换 密码 系统 。 

先 来 看 移 位 密码 系统 ,这 是 一 种 典型 的 单 表 代 换 密码 系统 。 

所 谓 移 位 密码 系统 ,是 指明 文 的 所 有 字母 后 移 一 定 的 数量 形成 密 文 的 字母。 

K 1.2 是 从 明文 字母 映射 到 密 文字 母 的 一 个 实例 。 

表 1.2 明文 字母 到 密 文字 母 的 映射 


有 了 映射 关系 后 ,就 可 以 进行 加 密 和 解密 。 
例 1.3 根据 表 1.2, 对 明文 “helloworld” 进 行 加 密 。 
按照 表 1. 2 的 映射 关系 ,存在 以 下 的 加 密 变 换 : 
h—n,e—k,l—>r,l—r,o—> uw—cCc,0o—> ur— xil r.dj 
于 是 可 以 得 到 密 文 : 
"nkrrucuxrj" 
接收 方 收 到 密 文 后 ,也 可 以 通过 表 1.2 进行 还 原 : 
n--h.k--e.r--l.r--l.u--0.c-- wu—> 0,x > r,r > l,j— d 
得 到 明文 : 
“helloworld” 
移 位 密码 系统 的 思想 实质 上 是 在 字母 编码 上 加 上 某 一 个 数 , 因 此 也 称 为 加 法 密码 系统 。 
下 面 对 仿 射 移 位 密码 系统 进行 完整 的 描述 。 
移 位 密码 系统 : 在 移 位 密码 系统 (Shift Cipher) 中 ,明文 空间 和 密 文 空 间 均 为 Z,。 
密 钥 空间 : K={k, k€ Z,) 
加 密 算法 : E,D =(i+k) mod n 
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解密 算法 : DG) —G-—4) mod n 
引言 提 到 的 凯撒 密码 是 移 位 密码 系统 的 一 个 特例 ,4 一 3 时 的 移 位 密码 系统 就 成 了 凯撒 
密码 系统 。 


既然 移 位 密码 系统 又 称 加 法 密码 系统 ,是 否 可 以 考虑 把 加 法 变 成 乘法 ,形成 一 种 新 的 密 
码 系 统 。 答 案 是 肯定 的 ,这 种 密码 系统 称 为 乘法 密码 系统 。 

同样 是 明文 “helloworld”, 对 应 的 编码 是 z[L10]=(7,4,11,11,14,22,14,17,11,3) ,如 
果 要 用 乘法 密码 算法 加 密 , 假 设 人 一 3, 那 么 如 何 来 求 >L10] 呢 ? 

把 对 应 的 每 个 数 乘 以 3, 得 到 (21,12,33,33,42,66,42,51,33,9), 为 了 让 所 有 元 素 都 能 
表示 成 26 个 字母 ,必须 在 乘法 完成 后 取 模 26 ,不 难得 到 

[10] — (21.12,7.7,16.14.16.25,7,9) 

Bl *vmhhqoqzhj" , 

但 是 ,如 果 要 对 y[10]=(21,12,7,7,16,14,16,25,7,9) 解 密 , 就 会 遇 到 一 点 麻烦 ,如 ， 

7/3 mod 26 — ? 

这 是 乘法 模 逆 求解 问题 ,这 类 问题 的 解决 方案 是 欧 几 里 德 扩 展 算法 (Euclidean 

Algorithm ) 。 


1.3. 欧 几 里 德 扩展 算法 


在 介绍 欧 几 里 德 扩展 算法 之 前 , 先 回顾 一 些 基 本 的 数学 概念 。 

最 大 公约 数 (Greatest Common Divisor, ged): 如 果 有 一 个 自然 数 a 能 被 自然 数 b 整 
除 , 则 称 a 为 5 的 倍数 ,5b 为 a 的 约 数 。 几 个 自然 数 共有 的 约 数 , 称 为 这 几 个 自然 数 的 公约 
数 。 公 约 数 中 最 大 的 一 个 公约 数 , 称 为 这 几 个 自然 数 的 最 大 公约 数 。 

例 1.4 在 2、4.6 中 ,2 就 是 2.4.6 的 最 大 公约 数 。 

等 价 关系 (Equivalence Relation) ; 设 一 是 集合 G 上 的 一 个 二 元 关系 ,满足 以 下 条 件 : 

自 反 性 : 对 任何 a€EG, 有 a~a; 

对 称 性 : 对 任何 a.bEG, 有 a~b=>b~a; 

传递 性 : 对 任何 a.b.cEG, 有 a~b 且 b~c>a~c; 

则 称 一 为 G 中 的 一 个 等 价 关 系 。 

同 余 关系 (Congruence Relation) ; i m 为 非 零 整数 ,a、b 为 整数, 如果 mla 一 5b, 那么 称 
a 5j b 对 模 m 是 同 余 关系 , 记 作 : 

a — b mod m 

不 难 验 证 , 同 余 关系 是 一 种 等 价 关 系 , 它 满足 等 价 关系 的 自 反 性 、 对 称 性 和 传递 性 。 

自 反 性 : 对 于 任何 整数 a,a 与 a 对 模 m 同 余 。 

对 称 性 : 对 于 任何 整数 a、b, 如 果 a 5 b 对 模 m 同 余 , 那 么 显然 有 5 与 a 对 模 m 同 余 。 

传递 性 : 对 于 任何 整数 ab、c, 如 果 a 与 对 模 m 同 余 , 且 45 与 c 对 模 m 同 余 , 那 么 a 与 
c 对 模 m 同 余 。 
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等 价 类 (Equivalence Class) : FÆa — (r|x€ Gea) FK a 所 在 的 等 价 类 。 
换 句 话说 ,等 价 类 就 是 与 a 等 价 的 元 素 的 集合 。 
定义 在 整数 集 Z 上 的 同 余 关 系 , 可 以 将 整数 集 Z 划分 为 “ 同 余 类 ”。 
同 余 类 (Congruence Class): WES (b: b—a(mod n2) 为 模 m 的 同 余 类 ,又 称 同 余 子 
集 , 记 为 [aj, ,如果 ao € [a], o B. 0a <m, MER ao 为 [ea],。 的 主 余数 , 记 为 <a >m, 
主 余 数 <a >m 属于 集合 Z ,Zn 二 {1,2,…,m 一 1}。 
在 Z, 中 可 以 定义 加 法 运算 ,例如 Gm = 26 时 ): 
24-3 — 5 mod 26 
22--7 = 3 mod 26 
也 可 以 定义 乘法 运算 ,例如 : 
2X3= 6 mod 26 
22 X7 = 24 mod 26 
加 法 的 逆 运 算是 减法 运算 ,例如 : 
5—3 = 2 mod 26 
3— 22 — 7 mod 26 
在 计算 3 一 22 mod 26 时 ,可 以 先 得 到 一 19, 然 后 找 主 余数 7 得 到 结果 。 
乘法 的 逆 运 算是 除法 运算 ,例如 : 
6/3 — 2 mod 26 
当 要 计算 24/7 mod 26—? 时, 却 出 现 了 困难 。 
定理 1.1( 欧 几 里 德 算 法 ) 两 个 正 整数 ro 二 ri, 欧 几 里 德 算法 包括 下 列 分 式 组 : 
n=qnttrs 0-rn-n 


六 一 gm 十 ra OK <r 


rm-2 = Q.-if rm 0 ry < rm-i 


m-i — QmUm 
通过 欧 几 里 德 算法 可 以 得 出 ro 和 的 最 大 公约 数 rm: 
gcd(roym) = ged(ri rm) 一 … = ged(ir, aru) = rm 


例 1.5 求解 gcd(2001,99)。 
2001 = 20 x 99 + 21 
99 — 4x 214- 15 
21 = 1X15+6 


15—2x6--3 
6—2x3 
Tm 一 3 

因此 ,gcd(2001,99) 王 gcd(99,21) 一 … 一 gcd(6,3) 一 3。 


定理 1.2( 欧 几 里 德 扩展 算法 ) 根据 欧 几 里 德 算法 的 参数 (q qst oam) ,构造 序列 


to sl ttt otm 
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to 一 0 
五 三 1 
t; = tj- gt mod ro 


对 于 OSj<m.r;=t;rı mod ro 恒 成 立 。 
WEBB: 容易 验证 当 j 二 0 和 j 王 1, 等 式 r;mt;ri mod ro 成立 。 
假设 当 j=i 一 2 和 7 一 ;一 1 时 等 式 成 立 , 即 : 


Ti-2 = ti-2r1 mod ro 


Ti = tja ri mod ro 


T;— Ti-2 一 di-ATi 
= ti- — qQiatian 
= (tie — qati r 


= tirı (mod ro) 


根据 数学 归纳 法 ,rj 三 jr mod ro 恒 成 立 ,命题 得 证 。 
定理 1.3 根据 前 
证 明 : 因为 : 


4 j= 二 m, 有 : 


面 的 定义 ,并 设 gedGro sri) =1. W t, — ri! mod roo 


rm = ged(ror) — 1 


trl = Fm = l1 mod re 


因此 stm ri! mod ro 成 立 。 命 题 得 证 。 
利用 欧 几 里 德 扩展 算法 可 计算 元 素 的 逆 , 算 法 描述 如 下 s 


= [a/b] 


"Ha 00ctvpf 
" 
m 


a- qXb 


while r > 0 do 
temp = c - qXd 


if temp > 0 then temp = temp moda 


else temp - n - temp moda 


c 
d 


2a o0? 


E 


d 

temp 

b 

È 

[a/b] 
a- qXb 


ifb!= 1 then rl 的 模 r0 SCR fé fr 
else d 是 r1 的 模 ro 3 
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9| 1.6 求解 7 mod 26, 


解 ， 
26 — 3XT7--5. t —0 
7—1x5c-2.n —1 
5—2x2-r1,5 to— qt 0—3 XI 23(mod 26) 
FA 2:X lih ti — qat; 13x22 4(mod 26) 
c" t tz — qsats 23—2X4 15(mod 26) 

容易 验证 : 


7X15 = 105=1(mod 26) 
例 1.7 求解 24/7 mod 26, 
解 : 
24/71— 24 X T! 

— 360 

— 22 mod 26 
有 了 欧 几 里 德 扩展 算法 后 ,乘法 密码 系统 的 解密 问题 便 迎刃而解 。 
乘法 密码 系统 : 在 乘法 密码 系统 (Multiplication Cipher) 中 ,明文 空间 和 密 文 空间 均 


38 Z.. 
密 钥 空间 K={k | gcd(k,n)=1, kEZ,) 
加 密 算法 : E,G) —G * k) mod n 
解密 算法 : Di(j)=(j/k) mod n 
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这 里 需要 注意 的 是 乘法 密码 系统 中 的 密 钥 需 满足 一 个 条 件 : gcd(k,n) 二 1, 即 与 n 互 
这 个 条 件 也 是 乘法 模 逆 存在 的 充分 必要 条 件 。 

将 加 法 密码 系统 和 乘法 密码 系统 结合 起 来 ,能 够 形成 仿 射 密码 系统 。 

仿 射 密码 系统 : 在 仿 射 密码 系统 (Affine Cipher) 中 ,明文 空间 和 密 文 空间 均 为 Zp o 


密 钥 空间 : K={k=(ko ,hi) | gcd(kisn)=1, koski € Z,) 
加 密 算法 : E, G) — Gh; +ko) mod n 
解密 算法 : DG) — G—h)/kh mod n 


与 前 面 的 密码 系统 相 比 , 仿 射 密码 系统 的 密 钥 不 再 是 一 个 数 ,而 是 一 个 二 元 组 (ko ski) 。 
例 1.8 在 仿 射 密码 系统 中 ,明文 空间 和 密 文 空间 均 为 Zs ,ko 二 3, 有 二 5。 
英文 明文 ， 


“unconditional security” 


相应 的 数字 明文 : 


“20,13,2,14,13,3,8,19,8,14,13,0,11,18,4,2,20,17,8,19,24” 


实施 加 密 算法 : 


E,G) = (Gi 4-3) mod 26 
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得 到 数字 密 文 : 
*25,16,13,21,16,18,17,20,17,21,16,3,6,15,23,13,25,10,17,20,19" 
相应 的 英文 密 文 : 
*zqnvqsrurvqdg pxnzkrut" 
实施 解密 算法 : 
D,G) = G — 3)/5 mod 26 
还 原 出 数字 明文 : 
*20,13,2,14,13,3,8,19,8,14,13,0,11,18,4,2,20,17,8,19,24" 
还 原 出 英文 明文 ， 


“unconditional security” 
特别 地 , 当 包 三 1 时 , 仿 射 退化 成 简单 的 加 和 减 , 相 应 的 密码 系统 是 移 位 密码 系统 ; 当 
ko =0 时 , 仿 射 退化 成 乘法 ,相应 的 密码 系统 是 乘法 密码 系统 。 
无 论 是 移 位 密码 系统 .乘法 密码 系统 还 是 仿 射 密码 系统 ,都 是 一 种 字符 的 蔡 换 。 以 
&, — 3.1 —5 的 仿 射 密码 系统 为 例 ,加 密 算法 对 应 的 密码 表 , 如 表 1. 3 所 示 。 


表 1.3 仿 射 密码 系统 的 密码 表 


明文 la bedefeghi jk lmnopqrs tuv wx yz 


WO |d ins x chmrwvbegl qv a fk purzsre jo ty 


因此 ,这 些 密码 算法 都 是 单 表 代 换 密码 系统 。 
单 表 代 换 密码 系统 还 有 更 一 般 的 形式 ,如 表 1.4 所 示 。 
表 1.4 单 表 代 换 密码 系统 的 密码 表 


一 般 形式 下 的 单 表 代 换 密码 系统 的 加 密 和 解密 算法 通常 需要 通过 查 表 来 实现 ,而 没有 
四 则 运算 那么 方便 。 与 一 般 形式 下 的 单 表 代 换 密码 系统 相 比 ,密码 表 的 基数 越 大 , 仿 射 密码 
系统 的 运算 优势 越 明 显 。 当 然 ,一 般 形式 下 的 单 表 代 换 密码 系统 显然 更 安全 一 些 。 


1.4 单 表 代 换 密码 分 析 


本 节 的 主要 内 容 是 对 于 单 表 代 换 密码 系统 的 安全 性 进行 分 析 。 

考虑 英文 字母 的 移 位 密码 系统 ,由 于 其 密 钥 量 很 小 ,即使 通过 穷 举 密 钥 搜 索 也 不 需 多 少 
开销 ,因此 密码 系统 安全 的 一 个 前 提 条 件 是 密 钥 空间 足够 大 。 

除了 密 钥 空间 要 考虑 之 外 , 单 表 代 换 密码 系统 的 另 一 个 缺点 是 没有 很 好 的 隐藏 字母 的 
频率 规律 ,因此 一 般 运用 频率 统计 方法 可 以 得 到 单 表 代 换 密码 系统 的 密 钥 。 
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几乎 每 一 种 语言 都 有 其 基础 元 素 的 频率 规律 。 以 英语 为 例 ,26 个 字母 中 e 和 + 出现 的 
频率 较 高 ,x 和 z 出现 的 频率 则 较 低 ,具体 的 统计 数据 如 表 1. 5 所 示 。 


表 1.5 英文 字母 概率 表 


字母 概 x 字母 概 x 
à 0. 082 n 0. 067 
b 0.015 o 0.075 
c 0.028 p 0.019 
d 0.043 q 0.001 
e 0.127 r 0. 060 
f 0.022 s 0. 063 
g 0.020 t 0.091 
h 0.061 u 0. 028 
i 0.070 v 0. 010 
j 0. 002 w 0.023 
k 0. 008 x 0.001 
1 0. 040 y 0. 020 
m 0.024 z 0. 001 


根据 表 1.5 可 知 ,英语 中 英文 字母 出 现 的 频率 有 很 大 的 差异 ,为 了 进一步 的 密码 分 析 ， 
通常 将 26 个 字母 按 频 率 高 低 分 为 以 下 几 组 : 
第 一 组 ,e 的 出 现 频率 最 大 。 
HHan s hr 的 频率 略 低 于 e, 称 为 次 高 频 组 。 
第 三 组 ,d、\! 为 中 频 组 。 
Hc um wig y pb 为 低频 组 。 
BEH. vk jx qz 为 极 低频 组 。 
另外 ,还 有 一 些 频繁 出 现 的 双 字 母 组 和 三 字母 组 的 频率 统计 也 有 助 于 密码 分 析 。 
按 频率 从 高 到 低 排序 ,以 下 为 30 个 最 常 出 现 的 双 字母 组 : 
th,he,in,er,an,re,de,on,es,st,en,at,to,nt,ha,nd,ou,ea.ng,as,or,ti,is,et,it,ar,te,se, hi,of 
以 及 12 个 最 常 出 现 的 三 字母 组 : 
the,ing,and,her.ere,ent,.tha,.nth,was,eth,for,dth 
这 种 频率 统计 的 特性 ,通过 单 表 代 换 的 加 密 后 并 没有 改变 ,因此 通过 相应 频率 规律 便 可 
还 原 出 原文 。 
例 1.9 对 于 给 定 的 如 下 密 文 : 
yifqfmzrwqfyvecfmdzpevmrzwnmdzvejbtxcddumj 
ndifefmdzcdmgzkceyfcjmyrncewjeszrexchzunmxz 
nzucdrjxyysmrtmeyifzwdyvzvyfzumrzcerwnzdzjj 
xzwgchsmrnmdhnemfqchzjmxjzwiej yucfwdjnzdir 


先 统计 出 各 个 字母 的 出 现 次 数 , 具 体 如 表 1.6 所 示 。 
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表 1.6 字母 出 现 次 数 统计 表 


Em 次 数 Em 次 数 
a 0 n 9 
b 1 o 0 
" 15 p 1 
d 13 q 4 
e 7 r 10 
f 11 s 3 
g 1 t 2 
h 4 u 5 
i 5 v 5 
j 11 w 8 
k 1 x 6 
1 0 y 10 
m 16 z 20 


通过 表 1.6 可 以 看 到 ,在 密 文中 字母 z 出 现 频率 明显 高 于 其 他 字母 ,因此 可 以 考虑 z 对 
应 的 明文 字母 是 e。 其 他 的 字母 在 密 文中 出 现 频率 较 高 的 字母 是 c、d、fvj、m、r、y, 它 们 出 现 
次 数 都 在 10 次 以 上 ,因此 可 以 考虑 在 次 高 频 组 中 对 应 的 明文 字母 ,不 过 具体 的 对 应 关系 尚 
不 能 轻易 确定 。 

可 以 进一步 分 析 双 字母 组 合 出 现 的 频率 。 

假设 z 对 应 的 明文 字母 是 e, 那 么 先 分 析 -z 或 型 的 双 字 母 组 。 其 中 ,出 现 较 多 的 是 dz 
和 zw 分 别 为 4 次 ,nz 和 zu 出 现 3 次 ,rz、hz、xz,fz、zr、zv、zc、zd 和 zj 各 出 现 两 次 。 由 现 有 数 
据 可 以 看 出 ,zw 出 现 4 次 而 wz 一 次 都 未 出 现 , 同 时 w 出 现 的 次 数 要 低 于 已 假设 的 次 高 频 
组 的 字母 出 现 次 数 , 因 此 可 以 考虑 w 对 应 的 明文 字母 为 d。 

又 因为 dz 出现 4 次 而 zd 出 现 两 次 , 且 d 本 身 出 现 频率 也 较 高 ,因此 可 以 考虑 d 对 应 的 
明文 字母 可 是 r、s.t 中 的 某 一 个 。 

通过 前 面 的 分 析 ,z 可 能 对 应 字母 e,w 可 能 对 应 字母 d,zrw 和 rzw 在 密 文 的 开始 部 分 
有 出 现 ,rw 在 后 文中 也 出 现 了 。 而 r 已 经 考虑 为 次 高 频 组 中 的 字母 ,同时 nd 是 一 个 明文 常 
见 的 双 字 母 组 ,因此 可 以 考虑 r+ 对 应 明文 字母 n。 

将 以 上 的 分 析 , 转 化 为 对 应 明文 ,具体 形式 如 下 : 


ndifefmdzcdmqzkceyfcjmyrncwjcszrexchzunmxz 
= 二 = = = 外 = < == 和 < éd--oes-9és-né-nd-é-e-- 


nzucdrjxyysmrtmeyifzwdyvzvyfízumrzcerwnzdzjj 


xzwgchsmrnmdhncemíqchzjmxjijzwiejyucíwdjnzdir 


接 下 来 ,可 以 考虑 密 文中 的 n 对 应 明文 字母 h, 这 是 因为 在 密 文中 nz 出 现 次 数 较 多 而 
zn 出 现 次 数 较 少 ,这 符合 he 与 eh 的 字母 频率 统计 规律 。 在 此 假设 基础 上 , 密 文 中 的 
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rzcrwnz 可 能 对 应 明文 ne-ndhe, 而 由 此 明文 可 以 考虑 c 对 应 明文 a, 则 明文 可 能 形式 为 ; 


Soue am end-----a---e-q--aedh--e--—--—--&----- 
yifqfímzrwqfíyvecfímdzpcvmrzwnmdzvejbtxcddumj 
区 ea---e-a---a---nhad-a-en--a-e-h--e 


ndifefmdzcdmqzkceyfcjmyrncwjcszrexchzunmxz 


nzucdrjxyysmrtmeyifzwdyvzvyfzumrzcerwnzdzjj 
-ed-a---nh---ha---a-e----ed----- a-d--he--n 


xzwgchsmrnmdhnemíqchzjmxjzwiejyucíwdjnzdir 


现在 再 考虑 另 一 个 出 现 次 数 较 高 的 密 文字 母 mm, 根据 前 文 的 分 析 可 得 , 密 文 段 rnm 解 
密 成 nh-, 这 表明 h- 是 一 个 词 的 开头 ,因此 m 很 可 能 是 一 个 元 音 。 

而 根据 前 文 的 分 析 已 假定 了 a 和 e, 这 里 可 以 考虑 m 是 次 高 频 组 中 的 元 音字 母 i 或 0。 
同时 ,在 英语 中 双 字 母 ai 比 ao 的 出 现 频率 高 ,因此 首先 可 以 考虑 m 是 密 文 字母 i, 这 样 明 文 
可 能 的 形式 为 : 


nasri lémd-----a-i-e-a-daedkb--e---—---4---1- 
yifqfmzrwqfyvecfímdzpcvmrzwnmdzvejbtxcddumj 
h----- i--ea-i-e-a---a-i--nhad-a-en--a-e-hi-e 
ndifefmdzcdmqzkceyfcjmyrnewjceszrexchzunmxz 
he-a-n----- in-i----ed---e---e--ineandhe-e-- 
nzucdrjxyysmrtmeyifzwdyvzvyfzumrzcerwnzdzjj 
e49d-a--i(nhbi--hai--a-e-i--ed----- a-d--he--n 


xzwgchsmrnmdhnemíqchzjmxjzwiejyucfíwdjnzdir 


继续 分 析 密 文 ,确定 明文 字母 o 对 应 的 可 能 密 文字 母 。 因 为 o 是 一 个 经 常 出 现 的 明文 
字母 ,所 以 可 以 考虑 密 文中 的 字母 dfj、y。 

经 过 对 密 文 的 观察 ,y 的 可 能 性 较 大 ,否则 会 出 现 长 串 的 元 音字 母 ,因为 密 文中 有 字段 
cfm 或 cjm , 若 为 对 应 明文 字母 o, 则 出 现 了 aoi, 这 不 符合 英语 中 的 语法 习惯 。 因 此 ,可 以 考 
虑 字母 y 对 应 明文 字母 o. 

剩余 的 密 文字 母 中 出 现 频率 最 高 的 3 个 字母 是 d、f\j, 可 以 考虑 它们 以 某 种 次 序 解 密 成 
rst SFE} nmd 两 次 出 现 , 很 可 能 密 文 d 对 应 明文 字母 s, 因 为 可 能 是 明文 三 字母 组 hiso 

对 于 密 文字 母 段 hncemf, 由 于 已 假设 n 为 hc 为 a.m 为 i, 所 以 可 以 猜测 明文 字母 段 是 
chair, 这 样 可 以 假设 密 文 f 对 应 明文 字母 +、 密 文 h 对 应 明文 字母 c, 而 最 后 一 个 密 文 中 出 现 
频率 较 高 的 j 假设 为 明文 字母 t。 这 样 对 应 的 明文 形式 为 : 


ó-r-riemwd-rxo--arise-a-inedhise---t--à---it 
yifqfmzrwqfyvecfímdzpcvmrzwnmdzvejbtxcddumj 
hs-r-ri-seasi--e--aorati-onhadta-en--ace--hi-e 
ndifefmdzcdmqzkceyfcjmyrnewjcszrexchzunmxz 
he-asnt-oo--in-i--o-redso-e--ore- ineandhesett 
nzucdrjxyysmrtmeyifzwdyvzvyfzumrzcerwnzdzj j 
-ed--ac--inhi-schai-r--aceti-ted--to-ardsthes-n 


xzwgchsmrnmdhnemíqchz jmxjzwiejyucfwdjnzdir 
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根据 以 上 的 分 析 结果 ,已 经 基本 确定 出 了 大 部 分 明文 , 接 下 来 就 是 将 剩余 的 密 文 字母 根 
据 语 义 与 词法 填补 完整 , 即 可 得 到 明文 。 具体 的 解密 明文 如 下 : 

our friend from paris examined his empty glass with surprise, as if evaporation had 
taken place while he wasn’t looking. i poured some more wine and he settled back in his 
chair, face tilted up to the sun. 

显然 ,字母 频率 分 析 法 是 单 表 代 换 密码 系统 的 破解 利器 。 

在 对 单 表 代 换 密码 系统 进行 分 析 之 后 ,下 面 对 密码 系统 的 分 析 ( 攻 击 ) 进 行 一 次 简单 的 
分 类 。 根 据 密 码 分 析 者 对 密码 系统 的 掌握 程度 ,可 将 密码 系统 分 析 类 型 分 为 以 下 几 种 ; 

1) 唯 密 文 攻击 (Ciphertext-Only Attack) 

对 于 这 种 形式 的 密码 分 析 , 分 析 者 已 知 两 个 信息 : 加 密 算 法 和 待 破译 的 密 文 。 密 码 分 
析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 是 直接 推算 出 加 密 消息 的 密 钥 ,以 便 将 来 采用 相同 的 
密 钥 解 出 其 他 被 加 密 的 消息 。 

2) 已 知 明文 攻击 (Known-Plaintext Attcak) 

对 于 这 种 形式 的 密码 分 析 , 分 析 者 掌握 的 信息 包括 加 密 算法 和 经 密 钥 加 密 形 成 的 一 个 
或 多 个 明文 - 密 文 对 , 即 知道 一 定数 量 的 密 文 和 对 应 的 明文 。 其 任务 是 利用 加 密 的 信息 推出 
用 来 加 密 的 密 钥 或 导出 一 个 算法 ,该 算法 可 以 对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 解密 。 

3) 选择 明文 攻击 (Chosen-Plaintext Attack) 

分 析 者 除了 知道 加 密 算法 外 ,还 可 以 选 定 明文 消息 ,并 可 以 知道 对 应 的 加 密 得 到 的 密 
文 , 即 知道 选择 的 明文 和 对 应 的 密 文 。 这 种 情形 特别 适用 于 后 面 章 节 将 介绍 的 公 钥 密码 系 
统 , 因 为 分 析 者 可 以 利用 公 钥 加 密 任意 选 定 的 明文 。 

一 个 密码 体制 是 否 安全 ,通常 是 指 在 这 3 种 攻击 下 的 安全 性 ,因为 攻击 者 很 容易 具备 进 
行 3 种 攻击 的 条 件 。 

相对 而 言 , 唯 密 文 攻击 是 最 困难 的 ,因为 分 析 者 可 供 利用 的 信息 最 少 。 单 表 代 换 密码 系 
统 的 字母 频率 分 析 法 正 是 一 种 唯 密 文 攻击 手段 。 


1.5 Vigenère 密码 系统 


对 单 表 代 换 密 码 系统 的 改进 是 多 表 代 换 密码 系统 ,多 表 代 换 密 码 系统 的 代表 是 
Vigenère 密码 系统 。Vigenare 密码 系统 由 法 国 密码 学 家 Blaise de Vigenère 于 1858 年 提出 
的 一 种 算法 。 

Vigenère 密码 系统 : 在 Vigenère 密码 系统 中 ,明文 空间 和 密 文 空间 均 为 Za 。 


ug. k—(G hk kiEZ,, i-—0.1,2,.d 
加 密 算法 : 712i 十 好 一 >Ci 十 地 

Cina = (Mita + ki) (mod n) 
解密 算法 : Ci 十 好 712i 十 地 


Mista = (Cit — ki) (mod n) 
例 1.10 在 Vigenère 密码 系统 中 ,明文 和 密 文 都 是 英文 字母 串 ,mn 一 26, 窗 铀 4 一 (19, 
7,8,13,10}. 
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明文 的 英文 形式 是 : 
“the algebraic form of an elliptic curve” 
相应 的 数字 形式 是 : 
“19,7,4,0,11， 6,4,1,17,0, 8,2,5,14,17， 12,14,5,0,13， 
4,11,11,8,15， 19,8,2,2,20 17,21,4?( 忽 略 空格 ) 
实施 加 密 算法 : 
190-19) 12 7(+7) 一 14 4(8) -一 12 0( 二 13)=13 110-10) —21 
6(+ 19) — 25 4(+7)—11 1(+8)—9 170-13) 一 4 0( 十 10) — 10 
8( 十 19) —1 2( 十 7) 一 9 5( 十 8) 一 13 14( 十 13) 一 1 170-10 一 1 
120-19) 一 5 14(+7)— 21 5€-80—13 0(+13) 一 13 13(+10) 一 23 
4( 十 19) 一 23 110-7) 一 18 11(+8)— 19 8CF-13)—21 15(+10) — 25 
194-19) — 12 8( 十 7) 一 15 2( 十 8) 一 10 2-13) —15 200-10 一 4 
174-19) 10 21(0-7)—2 4( 十 8) 一 12 
得 到 数字 密 文 : 
*12,14,12,13,21, 25,11,9,4,10, 1,9,13,1.1. 5,21,13,13,23， 
23,18,19,21,25, 12,15,10,15,4,10,2,12" 
相应 的 英文 密 文 : 


“mom nvzljekbj nbbf vn nx xstvzmpk pekcm" 

实施 解密 算法 : 

12( 一 19) 一 19 14( 一 7) 一 7 12 (一 8) 一 4 13( 一 13) 一 0 21( 一 10) 一 11 

25( 一 19) 一 6 11( 一 7) 一 4 9( 一 8) 一 1 4( 一 13) 一 17 10( 一 10) 一 0 

1(—19)--89 (=p =z 13-80 —5 1( 一 13) 一 14 1( 一 10) — 17 

5( 一 19) —12 21( 一 7) 一 14 13( 一 8) 一 5 13(— 13) 一 0 23( 一 10) 一 13 

23( 一 19) 一 4 18( 一 7) 一 11 19( 一 8) —11 21( 一 13) 一 8 25( 一 10) 一 15 

12(—19)— 19 15(—7)—8 10( 一 8) 一 2 15( 一 13) 一 2 4( 一 10) 一 20 

10(— 19) — 17 2(—7)—21 12( 一 8) 一 4 
还 原 出 数字 明文 ， 

“19,7,4,0,11, 6,4,1,17,0, 8,2,5,14,17， 12,14,5,0,13， 
4,11,11,8,15, 19,8,2,2,20, 17,21,4" 
相应 的 英文 明文 是 : 
“the algebraic form of an elliptic curve” 

在 Vigenère 密码 系统 中 ,具体 密 钥 & 二 (&1, Ros ks,… ,上 ,) 的 选取 可 以 通过 一 个 英文 单 
词 来 设 定 , 即 将 (ki ， kos ks，,…，k,) 与 这 个 单词 的 每 一 个 字母 一 一 对 应 。 

由 加 密 过 程 可 见 , 对 于 同一 个 字母 的 加 密 , 可 能 会 对 应 不 同 的 密 文 ,也 就 是 说 字母 对 照 
表 不 是 一 个 ,而 是 多 个 ,因此 Vigenere 密码 系统 是 一 种 多 表 代 换 密码 系统 。 

多 表 代 换 密码 系统 在 一 定 程度 上 隐藏 了 字母 的 频率 规律 ,对 于 单 表 代 换 密码 的 频率 分 
析 方 法 在 多 表 代 换 密码 系统 分 析 中 便 不 能 直接 适用 。 要 分 析 Vigenère 密码 ,首先 需 确 定 密 
钥 的 长 度 2 较 常 用 的 方法 有 Kasiski 测试 法 和 重合 指数 法 两 种 。 

Kasiski 测试 法 是 由 普鲁士 军官 Kasiski 在 1863 年 提出 的 一 种 重 码 分 析 法 。 基 本 原理 : 
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搜索 长 度 至 少 为 3 的 相同 的 密 文 段 .记录 这 些 相同 密 文 段 到 起 始点 之 间 的 距离 ,从 而 得 到 几 
个 距离 的 数值 ,可 以 猜测 ”为 这 些 距 离 值 的 最 大 公 因子 的 因子 。 

Kasiski 测试 过 程 , 只 是 给 出 了 nn 值 的 初步 猜测 值 ,为 得 到 更 准确 地 判断 ,需要 进一步 结 
合 重合 指数 法 。 

重合 指数 : 设 rSn er, 是 nn 个 字母 的 一 个 串 ,z 的 重合 指数 定义 为 xz 中 的 两 个 随 
机 元 素 相同 的 概率 , 记 为 Ila) a 

假设 fo fam fos I IRE zz 中 的 各 个 字母 (A,B,C,…,2Z) 出 现 的 频率 。 一 共有 CC? 
种 方法 选择 x 中 的 任意 两 个 元 素 。 对 每 一 个 i,0 过 i 过 25,z 中 的 两 个 元 素 都 被 选择 为 第 i 
个 字母 的 方法 有 C3 种 ,于 是 可 以 得 到 : 
DC MfGGc-D 

LG) — “e H E 1) 

假设 字母 出 现 的 期 望 概率 为 po pis pere Pos ,两 个 随机 元 素 都 是 A 的 概率 为 po ,两 个 

随机 元 素 都 为 B 的 概率 为 pi ,依次 类 推 。 则 有 : 


25 
I(x) ~ S] pi = 0.065 
i-o 


假定 密 文 串 c= 王 cicscs…c* 是 由 Vigenère 密码 加 密 得 到 的 ,把 c 分 成 m 个 长 为 n/m 的 
PPIH yiye Ymo WMR m 确实 是 密 钥 的 长 度 , 那 么 每 一 个 I.(yi) 的 值 应 该 约 等 于 
0.065。 而 如 果 m 不 是 密 钥 的 长 度 ,那么 子 串 应 看 起 来 更 为 随机 ,因为 是 通过 不 同 的 密 钥 移 
位 加 密 方式 得 到 的 。 而 对 于 一 个 完全 随机 的 字母 串 ,其 重合 指数 为 : 

Ilx) 22 26(1/26)* = 1/26 ~ 0.038 

对 比 两 个 重合 指数 的 值 0.065、0.038, 可 以 看 出 两 者 的 差别 相当 大 ,因此 可 以 用 这 个 方 
法 确定 密 钥 的 长 度 。 

在 确定 密 钥 长 度 后 ,假定 长 度 为 mw, 则 可 以 把 密 文 c 分 成 mw 个 长 为 n/m WFE, 
每 个 子 串 实际 上 就 相当 于 单 表 代 换 密码 ,可 以 通过 对 单 表 代 换 密码 的 分 析 方 法 来 进行 破解 
即 可 。 不 过 , 仍 有 一 个 更 简单 而 有 效 的 方法 。 

令 1<i<m, fo、 有 hi、…、fs 分 别 表 示 串 ci; 中 的 各 个 字母 (A,B,C,…,Z) 出 现 的 频率 。 


再 令 Ww 一 n/m AER c, 的 长 度 , 则 26 个 字母 在 c MIERNE ues E 
考虑 到 子 串 c 是 由 对 应 的 待 加 密 的 明文 子 集 中 的 字母 移动 c; 个 位 置 所 得 的 ,因此 移 位 

后 的 概率 分 布 为 个 Pet ue nom 

应 该 近似 于 表 1.5 中 的 统计 概率 分 布 poppe 

假定 0 二 g 志 25 ,定义 数值 : 


n 


= < bif ite 
Mec 2 n 
如 果 gs 一 心 ,类 似 于 前 文 的 重合 指数 的 分 析 , 应 该 有 : 


25 
M, ~ S pi = 0.065 
气 
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如 果 g 关 ki;,; 则 M, 一 般 应 该 小 于 0.065。 对 于 任意 的 i(1 志 i 过 mm) ,使 用 这 种 方法 可 以 
具体 确定 每 一 个 的 值 。 

例 1.11 设 某 一 段 明文 应 用 Vigenère 密码 加 密 后 的 密 文 如 下 : 

chreevoahmaeratbiaxxwtnxbeeophbsbqmqeqerbwrvxuoakxaosxxweahbwgjmmqmnkgrf 
vgxwtrzxwiaklxfpskautemndemgtsxmxbtuiadngmgpsrelxnjelxvrvprtulhdnqwtwdtygbphxtfa 
ljhasvbfxngllchrzbwelekmsjiknbhwrjgnmgjsglxfeyphagnrbieqjtamrvlerremndglxrrimgnsnrw 
chrqhaeyevtagebbipeewevkakoewadremxmtbjjchrtkdnvrzchrclqohpwqaiiwxnrmgwoiifkee 

首先 ,使 用 Kasiski 测试 法 。 在 密 文中 密 文 串 “chr” 共 出 现在 5 个 位 置 , 开 始 位 置 分 别 为 
1、166、236、276 和 286 ,其 距离 分 别 为 165、235、275 和 285。 这 3 个 整数 的 最 大 公约 数 为 5， 
故 可 以 考虑 密 钥 的 长 度 很 可 能 是 5。 

然后 ,通过 使 用 重合 指数 法 再 进一步 确认 这 一 分 析 的 正确 性 。 当 闷 王 1 时 ,重合 指数 为 
0. 045; 当 m=2 时 ,两 个 重合 指数 分 别 为 0.046 和 0. 041; ?4 m —3 时 ,3 个 重合 指数 分 别 为 
0.043、0.050 和 0.047; 当 m=4 时 ,4 个 重合 指数 分 别 为 0.042、0.039、0.046 和 0. 040; 当 
m —5 时 ,可 获得 的 值 分 别 为 0.063、0.068、0.069、0.061 和 0.072。 这 些 值 为 密 钥 的 长 度 为 
5 提供 了 强 有 力 的 证 据 。 

在 确定 了 密 钥 长 度 为 5 后 ,可 以 分 析 对 任意 1 二 i 二 5, 计算 其 对 应 的 M, 的 值 。 具 体 结 
果 如 表 1.7 所 示 。 


表 1.7 M, 的 值 

i Me (Ci ) 的 值 

0.035 0.031 0. 036 0.037 0.035 0. 039 0. 028 0. 028 0. 048 
1 0.061 0.039 0. 032 0. 040 0.038 0.038 0.044 0.036 0. 030 

0.042 0.043 0. 036 0. 033 0.049 0.043 0.041 0.036 

0.069 0.044 0.032 0. 035 0.044 0. 034 0. 036 0. 033 0. 030 
2 0. 031 0.042 0. 045 0. 040 0.045 0. 046 0. 042 0. 037 0. 032 

0. 034 0.037 0. 032 0. 034 0.043 0.032 0. 026 0. 047 

0. 048 0.029 0. 042 0. 043 0.044 0. 034 0. 038 0. 035 0. 032 
3 0.049 0.035 0. 031 0. 035 0.065 0.035 0.038 0.036 0.045 

0. 027 0.035 0. 034 0. 034 0.037 0.035 0.046 0.040 

0.045 0.032 0. 033 0. 038 0.060 0. 034 0. 034 0.034 0. 050 
4 0.033 0.033 0. 043 0.040 0.033 0.028 0. 036 0.040 0. 044 

0.037 0.050 0. 034 0. 034 0.039 0. 044 0. 038 0. 035 

0. 034 0.031 0. 035 0. 044 0.047 0. 037 0. 043 0. 038 0. 042 
5 0. 037 0.033 0. 032 0. 035 0.037 0.036 0.045 0.032 0.029 

0.044 0.072 0. 036 0.027 0.030 0.048 0. 036 0.037 


X 3e 1. 7 的 结果 进行 分 析 , 对 每 一 个 i, 寻找 其 M, 值 接近 于 0.065 的 那 一 个 值 。 这 些 
具体 的 g 决定 了 相应 的 移 位 ki 、ks、ks、ks、ks。 根 据 具体 的 数据 ,可 以 考虑 密 钥 为 二 (9,0， 
13,4,19) ,对 应 的 字母 为 JANET。 尝 试 着 解密 密 文 ,可 以 验证 密 钥 是 正确 的 。 

解密 后 的 明文 为 : 

The almond tree was in tentative blossom. The days were longer. often ending with 


magnificent evenings of corrugated pink skies. The hunting season was over. with hounds 
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and guns put away for six months . The vineyards were busy again as well-organized 
farmers treated their vines and the more lackadaisical neighbors hurried to do the pruning 


they should have done in November. 


1.6 Hill 密码 系统 


Hill 密码 系统 是 一 种 比 Vigenere 密码 系统 更 复杂 的 古典 密码 系统 。 
Hill 密码 系统 : 在 Hill 密码 系统 中 ,明文 空间 和 和 密 文 空间 都 是 Zr ,明文 用 r5 Cn. 
Lar Xm ) 表 示 , 密 文 用 y Qn sys s ERR e 


WH: 
ku ke cU kim 
ie js in Dan 5e 
km kmz [m 
实施 加 密 算法 : 
ku kez kim 
Cyis yas tts Ym) = Cri sag ttt) "i E js 
km km Kum 
即 : 
y = ak 
相应 的 解密 算法 是 : 
x= yk? 
例 1.12 Hill 密码 系统 中 ,n= 二 26,m 三 2, 明文 是 "sunday”, 求 其 加 解密 过 程 。 
将 明文 变 成 数字 ,并 按 每 两 个 字母 进行 分 组 : 
(18.20) (13.3) (0.24) 
密 钥 : 
9 6 
| 
实施 加 密 算法 : 
Orad = aao il 
` 7 11 
B. 
y = 9x; HTx: 
= xı + llr: 
分 别 得 到 密 文 : 


(16.16) (8,7) (12.4) 
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转化 为 英文 密 文 是 "qqihme”。 
实施 解密 算法 ， 


pi T 
TI1，T2 yia 7 11 yis ya 9 7 


得 到 明文 : 
(18,20) (13.3) (0,24) 
Bl "sunday", 
在 实施 Hill 解密 算法 时 ,需要 计算 A ,二 阶 和 矩阵 的 逆 可 以 按 下 列 公 式 求 得 : 
kzz — kz 
k^ = (det e| Jemoa n) 
— kn ku 
其 中 : 


det k = is — kiska (mod n) 
特别 地 , 当 k 是 对 角 和 矩 阵 时 ,Hill 密码 系统 可 能 退化 成 乘法 密码 系统 ; 而 当 ded (AR 
阵 时 ,Hill 密码 系统 退化 成 换 位 密码 系统 。 


1.7 流 密码 系统 


虽然 大 部 分 古典 密码 系统 的 安全 性 都 不 是 很 好 ,但 通过 古典 密码 系统 可 以 演化 出 一 种 
在 理论 与 实际 中 都 无 法 破解 的 密码 。 这 种 绝对 安全 的 密码 是 一 次 一 密 (One Time Padding) 
密码 系统 ,由 Major Joseph Mauborgne 和 AT&T 公司 的 Gilbert Vernam F 1917 年 发 明 。 

为 便于 分 析 一 次 一 密 密 码 系统 的 安全 性 ,首先 明确 以 下 几 个 概念 。 

计算 安全 (Computational Security); 如 果 攻 击 者 破解 密码 的 最 好 算法 需要 N 次 操作 
CN 是 某 个 特定 的 足够 大 的 数 ), 则 称 这 个 密码 系统 是 计算 安全 的 。 

在 实际 中 ,分 析 密 码 系统 的 安全 性 主要 是 分 析 它 的 计算 安全 性 ,而 分 析 计 算 安 全 性 , 通 
常 是 将 系统 的 计算 安全 性 等 价 为 一 个 “ 难 解 的 数学 问题 "来 研究 。 例 如 ,如 果 某 个 密码 系统 
的 破解 问题 等 价 于 离散 对 数 求解 问题 ( 见 后 面 的 章节 ) ,那么 该 密码 系统 是 计算 安全 的 。 

无 条 件 安全 (Unconditional Security); 如 果 攻 击 者 利用 无 限 的 资源 仍 不 能 破解 密码 ， 
则 称 这 个 密码 系统 是 无 条 件 安 全 的 。 

无 条 件 安全 又 被 称 为 理论 安全 。 

完善 保密 性 (Perfect Secrecy): 如 果 密 文 和 明文 在 统计 上 相互 独立 , 则 称 一 个 密码 系统 
具有 完善 保密 性 。 

完善 保密 性 是 从 概率 统计 上 来 分 析 密 码 系统 的 安全 性 ,而 不 是 用 确定 性 方法 。 

一 次 一 密 密 码 系统 使 用 一 次 一 密 密 码 表 ,该 密码 表 是 一 个 不 重复 的 随机 密 钥 字母 集合 ， 
在 实际 应 用 中 将 这 个 密 钥 字 母 集合 写 在 几 张 纸 上 ,并 被 粘 成 一 个 密码 本 。 

一 次 一 密 密 码 系统 通过 电 传 打字 机 来 传递 信息 。 发 送 者 用 密码 表 中 的 每 一 密 钥 字 母 准 
确 地 加 密 一 个 明文 字符 。 加 密 是 明文 字符 和 一 次 一 密 密 码 系统 密 钥 字符 的 模 26 加 法 , 且 每 
个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 者 对 所 发 送 的 消息 加 密 后 ,销毁 密码 本 中 用 过 的 一 页 
或 磁带 部 分 。 接 收 者 有 一 个 同样 的 密码 本 ,并 依次 使 用 密码 表 上 的 每 个 密 钥 去 解密 密 文 的 
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每 个 字符 。 接 收 者 在 解密 消息 后 销毁 密码 本 中 用 过 的 一 页 或 磁带 部 分 。 新 的 消息 则 用 密码 
本 中 新 的 密 钥 加 密 。 

如 果 窃 听 者 不 能 得 到 用 来 加 密 消 息 的 一 次 一 密 密 码 表 , 则 该 加 密 方案 是 完全 保密 的 。 
给 出 的 密 文 消息 相当 于 同样 长 度 的 任何 可 能 的 明文 消息 。 

由 于 每 一 密 钥 集合 都 以 随机 方式 产生 ,因此 各 个 字母 出 现 的 概率 均等 ,攻击 者 没有 任何 
信息 用 来 对 密 文 进行 密码 分 析 。 

一 次 一 密 密 码 系统 的 加 密 方 法 可 以 很 容易 推广 到 二 进 制 数 据 的 加 密 , 只 需 用 由 二 进 制 
数据 组 成 的 一 次 一 密 密 码 本 代替 由 字母 组 成 的 一 次 一 密 密 码 序 列 , 用 异 或 代替 一 次 一 密 密 
码 系 统 的 明文 字符 模 加 即 可 。 为 了 解密 ,用 同样 的 一 次 一 密 密 码 系统 对 密 文 异 或 ,其 他 保持 
不 变 , 保 密 性 依然 很 完善 。 

例 1.13 假设 明文 消息 是 011001110, 密 钥 是 010100011 为 密码 本 中 最 新 没 用 到 的 部 
分 , 异 或 用 四 表示 。 

加 密 过 程 : 

c = ek (m) = 011001110 ® 010100011 = 001101101 
解密 过 程 : 
m = dx(c) = 001101101 & 010100011 = 011001110 

一 次 一 密 密 码 系统 一 直 被 认为 是 不 可 破解 的 ,直到 1948 年 这 一 命题 才 由 Shannon 4 
出 的 安全 性 理论 证 明 其 无 条 件 安全 性 。 对 Shannon 的 基础 理论 感 兴 趣 的 读者 ,可 阅读 附录 
中 的 相关 部 分 。 

虽然 一 次 一 密 密 码 系统 是 无 条 件 安全 的 ,但 它 并 没有 得 到 广泛 应 用 。 首 先 ,由 于 密 钥 位 
必须 是 随机 的 ,而 且 不 能 重复 使 用 ,这 必然 导致 密 钥 序列 的 长 度 要 等 于 消息 的 长 度 。 这 使 得 
密 钥 的 传输 与 存储 都 很 困难 ,尤其 对 于 加 密 较 长 的 消息 。 其 次 ,需要 完全 确保 发 送 者 和 接收 
者 的 同步 性 ,和 否则 即使 接收 者 有 1 位 的 偏 移 ,消息 都 会 变 得 完全 面目 全 非 。 此 外 ,生成 一 个 
完全 随机 数 发 生源 也 不 是 一 件 很 容易 的 事情 。 

将 一 次 一 密 密 码 系统 的 设计 思想 稍 作 改 动 可 以 形成 相对 实用 的 流 密码 系统 。 

与 一 次 一 密 密 码 系统 的 密 钥 产生 机 制 不 同 , 流 密码 系统 的 密 钥 不 是 完全 随机 的 。 加密 
和 解密 所 需要 的 这 种 序列 由 一 个 确定 性 的 密 钥 流 生成 器 (Key Generator) 产 生 , 该 生成 器 的 
输入 是 一 个 容易 记 住 的 密 钥 , 称 为 密 钥 流 生成 器 的 初始 密 钥 或 种 子 (Seed) 密 钥 。 从 这 个 意 
义 上 来 说 , 密 钥 流 序列 是 伪 随 机 序列 (Pseudorandom Sequence) 。 

完整 的 流 密 码 系统 模型 ,如 图 1. 1 所 示 。 


i wet 
短 密 钥 k KEHA 
Y 
密 钥 序列 产生 密 钥 序列 产生 
器 算法 4 器 算法 4 


Kb ks 
1 
ym... EE Cea. -| 信道 a HS... 


L1 流 密码 系统 模型 
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从 图 1. 1 的 模型 可 以 看 出 , 流 密码 体制 的 安全 强度 完全 取决 于 密 钥 流 的 安全 性 。 因 此 ， 
什么 样 的 伪 随 机 序列 是 安全 可 靠 的 密 钥 流 序列 ,如 何 构造 这 种 序列 就 是 流 密码 研究 中 的 关 
键 问题 。 

根据 密码 流 与 明文 的 关系 ,可 将 流 密码 进一步 划分 成 同步 流 密码 和 自 同步 流 密码 两 类 。 

在 同步 流 密码 中 , 密 钥 流 的 产生 与 明文 消息 流 相互 独立 。 

由 于 密 钥 流 与 明文 串 无 关 ,所 以 同步 流 密码 中 的 每 个 密 文 c 不 依赖 于 之 前 的 明文 
mi_1、… vm。 同步 流 密码 的 一 个 重要 优点 就 是 无 错误 传播 : 在 传输 期 间 一 个 密 文字 符 被 改 
变 只 影响 该 符号 的 恢复 ,不 会 对 后 继 的 符号 产生 影响 。 

但 是 ,在 同步 流 密码 中 发 送 方 和 接收 方 必须 是 同步 的 ,用 同样 的 密 钥 且 该 密 钥 操 作 在 同 
样 的 位 置 时 才能 保证 正确 解密 。 如 果 在 传输 过 程 
中 密 文字 符 有 插入 或 删除 导致 同步 丢失 , 密 文 与 密 
钥 流 将 不 能 对 齐 , 导 致 无 法 正确 解密 。 要 正确 还 原 
明文 , 密 钥 流 必须 再 次 同步 。 

在 自 同步 流 密码 中 , 密 钥 流 的 产生 与 之 前 已 经 
产生 的 若干 密 文 (或 明文 ) 有 关 , 其 加 密 过 程 , 如 
图 1.2 所 示 。 

下 面 介绍 的 自动 密 钥 密码 系统 正 是 基于 这 种 ”图 1.2 自 同步 流 密码 系统 的 加 密 过 程 
思想 。 

自动 密 钥 密码 系统 (Autokey Cipher); 明文 空间 、 密 文 空间 、 密 钥 空间 分 别 用 P.C, K 
AUR.P—C-—K-—Z4.4^2—KH: 


Ua 


明文 串 


种 子 密 钥 


z; = t; (i > 2) 
zy ZE Za ,7 表示 明文 ,y 表示 密 文 。 
加 密 算法 : 
e,Cr) = x +z mod 26 
解密 算法 : 


d,Cy) = y — z mod 26 
$11.14. 设 密 钥 & = 8. 明文 是 "RENDEZVOUS”, 求 其 加 解密 过 程 。 
首先 将 明文 转换 成 整数 串 ,得 到 : 

17 4 13 3 4 25 21 14 20 18 
密 钥 流 是 : 
8174133425211420 
用 密 钥 流 对 明文 进行 加 密 ,加 密 是 模 加 运算 ,可 得 加 密 结果 ， 
252117 167 3 209 8 12 
写成 字母 的 形式 ,文本 方式 的 密 文 是 : 
ZVRQHDUJIM 
接 下 来 进行 解密 。 先 将 密 文 写成 整数 串 的 形式 : 
25 2117 16 7 3 209 8 12 
由 于 密 钥 & 一 8 ,可 将 第 一 位 25 取出 ,计算 : 
xı = 25 — 8 mod 26 = 17 
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然后 ,根据 zi 的 计算 结果 ,计算 : 
z: — 21 —17 mod 26 = 4 


类 似 地 ,可 以 计算 出 : 
x, = 17 — 4 mod 26 = 13 
x, = 16 — 13 mod 26 = 3 
z; = 7—3 mod 26 = 4 
xs = 3 — 4 mod 26 = 25 
xı = 20 — 25 mod 26 = 21 
xs = 9 — 21 mod 26 = 14 
x = 8 — 14 mod 26 = 20 
rs — 12 — 20 mod 26 — 18 
得 到 明文 : 


17 4 13 3 4 25 21 14 20 18 

HI*RENDEZV OUS" ,解密 成 功 。 

自动 密 钥 密 码 系统 的 安全 性 并 不 高 ,因为 仅仅 有 26 个 可 能 的 密码 ,很 容易 被 猜 出 。 但 
是 ,这 并 不 意味 着 流 密码 系统 的 安全 性 不 高 ,相反 随 着 电子 技术 的 发 展 ,线性 反馈 移 位 寄存 
器 (LFSR) 被 引入 到 流 密码 系统 来 ,使 得 流 密 码 系统 成 为 风靡 一 时 的 主流 密码 系统 。 基 于 
LFSR 的 流 密码 系统 将 在 第 2 章 详 细 介绍 ,因为 基于 LFSR 的 流 密码 系统 带 有 太 多 的 “ 科 
学 ”特征 ,与 古典 密码 系统 的 距离 已 渐 行 渐 远 。 

对 密码 学 历史 感 兴趣 的 读者 还 可 以 阅读 戴 维 ， 卡 恩 (David Kahn) 的 作品 《破译 者 》 
(The Code Breakers) , 书 中 详细 记述 了 从 三 千年 前 直到 第 二 次 世界 大 战 时 期 密码 学 的 发 展 
历程 。 


1.8 J 题 


1. 设 4 一 3, 请 使 用 移 位 密码 体制 对 下 面 的 消息 进行 加 密 : 

change password is a request reply protocol that includes a krbpriv message that 
contains the new password for the user the original change password protocol does not 
allow an administrator to set a password for a new user this functionality is useful in some 
environments and this proposal extends the change password protocol to allow password 
setting the changes are adding new fields to the request message to indicate the principal 
which is having its password set not requiring the initial flag in the service ticket using a 
new protocol version number and adding three new result codes 

2. 在 移 位 密码 系统 中 , 密 文 如 下 : 

estd oznfxpye opdnctmpd esp xo xpddlrp otrpde lwrzctesx esp lwrzctesx elvpd ld tyafe 
l xpddlrp zq lemteclcj wpyres lyo aczofnpd ld zfeafe l i mte qtyrpcactye zc xpddlrp otrpde zq 
esp tyafe te td nzyupnefcpo esle te td nzxafeletzylwwj tygqpldtmwp ez aczofnp ehz xpddlrpd 
slgtyr esp dlxp xpddlrp otrpde zc ez aczofnp lyj xpddlrp slgtyr l rtgpy acpdapntqtpo elcrpe 
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xpddlrp otrpde esp xo lwrzctesx td tyepyopo qzc otrtelw dtrylefcp laawtnletzyd hspcp 1 
wlerp qtwp xfde mp nzxacpddpo ty | dpnfcp xlyypc mpgzcp mptyr pyncjaepo htes l actglep 
vpj fyopc l afmwtn vpj ncjaezdjdepx dfns ld cdl 
试 破解 该 密码 系统 。 
3. 使 用 仿 射 密码 算法 对 信息 “take a clean pair of heels” 进 行 加 密 , 已 知 ko =7,ki=11, 
4. 使 用 仿 射 密码 算法 对 信息 “hlzb 1 slqfb tpnywbotalojb” 进 行 解密 ,已 知 ko 二 11， 
bh 17, 


5. 3R del d 26, 
习 t 
elta moi 


6. 35K 99^! mod 2003, 

7. 求 24770376 和 50572851 的 最 大 公约 数 。 

8. 使 用 Vigenère 密码 算法 对 信息 “take a bear by the tooth” 进 行 加 密 , 已 知 密 钥 = 
(9,22,1552).. 

9. 使 用 Vigenère 密码 算法 对 信息 “dlsh r nwajagflzev wtoxip” 进 行 解密 ,已 知 密 钥 k= 
(17,115853), 

10. 使 用 Hill 密码 算法 对 信息 “have a button missing" JE f7 Jl 9E. C A 25 4] 


p21 47 
11. R| s] mod 26, 
d m "m _ 16 3 
12. 使 用 Hill 密码 算法 对 信息 "mheyev" 进 行 解密 ,已 知 密 钥 &= [D]. 
13. 在 自动 密 钥 密码 系统 中 ,已 知 密 钥 二 9, 明 文 是 “expertssaytargetedlegislationleads 


tostrongdemocracies”, 求 密 文 。 


第 2 章 对 称 密码 系统 


对 称 密码 系统 的 概念 并 不 陌生 ,因为 第 1 章 中 介绍 的 古典 密码 系统 基本 上 都 是 对 称 密 
码 系统 。 在 一 个 对 称 密码 系统 中 ,加 密 与 解密 过 程 中 的 密 钥 是 一 样 的 ,或 者 可 以 相互 推导 得 
出 。 相 对 于 古典 密码 系统 ,本 章 中 将 要 介绍 的 对 称 密码 系统 更 加 复杂 ,基于 更 多 的 数学 原理 
和 更 强 的 电子 计算 机 技术 。 

本 章 重点 介绍 3 种 对 称 密码 系统 : 基于 LFSR 的 流 密码 系统 .DES 算法 和 AES 算法。 
此 外 ,还 将 介绍 主流 的 加 密 模式 ,加 密 模式 对 于 对 称 密码 系统 的 实现 尤为 重要 。 


2.1 基于 LFSR 的 流 密码 系统 


第 1 章 介 绍 了 自动 密 钥 密码 系统 ,该 系统 的 密 钥 只 有 26 个 ,安全 性 并 不 高 。 由 于 流 密 
码 的 安全 强度 取决 于 密 钥 流 生成 器 生成 的 密 钥 流 ,所 以 如 何 生 成 安全 性 好 的 密 钥 流 便 成 了 
流 密码 系统 的 焦点 。 

接 下 来 将 介绍 一 种 基于 线性 反馈 移 位 寄存 器 的 流 密码 系统 。 线 性 反馈 移 位 寄存 器 的 方 
法 具有 以 下 优点 : 

(1) LFSR 的 结构 非常 适合 硬件 实现 ; 

(2) LFSR 的 结构 便于 使 用 代数 方法 进行 分 析 s 

(3) 产生 序列 的 周期 可 以 很 大 ; 

(4) 产生 的 序列 具有 较 好 的 统计 特性 。 

反馈 移 位 寄存 器 ,如 图 2. 1 所 示 。 


- an =| ani | ana c -o [— a -| a, - 


输出 序列 


2.1 反馈 移 位 寄存 器 


在 图 2. 1 中 ,a; 表示 存储 单元 , 取 值 为 0 或 1,ai 的 个 数 n 称 为 反馈 移 位 寄存 器 的 级 。 

在 某 一 时 刻 , 这 些 级 的 内 容 构成 该 反馈 移 位 寄存 器 的 一 个 状态 ,总 共有 2” 个 可 能 的 状 
态 , 每 一 个 状态 对 应 于 二 进 制 的 一 个 nn 维 向 量 ,用 (a1 sas n aD RIR o 

函数 f 是 一 个 nn 元 布尔 函数 , 称 为 反馈 函数 。 

在 每 个 周期 ,各 级 存储 器 ui 将 其 存储 内 容 向 下 一 级 a;-1 传 递 , 最 右边 一 级 存储 器 的 内 


$23 对 称 密码 系统 27 


容 作 为 该 时 刻 的 输出 。 

根据 该 时 刻 寄存 器 的 状态 计算 出 f Cas ,as,，…,a,) 并 把 该 值 作为 最 左边 一 级 寄存 器 下 
一 时 刻 的 内 容 。 

显然 ,一 个 反馈 移 位 寄存 器 的 逻辑 功能 完全 由 该 移 位 寄存 器 的 反馈 机 数 所 决定 。 

反馈 函数 形 如 ， 

flai saz," san) = c,a1 由 cas 由 … 由 ca， 

其 中 ,系数 cE (0.1) ,这 里 的 运算 是 二 进 制 的 模 加 和 模 乘 。 由 于 该 反馈 函数 是 ai azs van 
的 线性 函数 ,因此 对 应 的 反馈 移 位 寄存 器 称 为 线性 反馈 移 位 寄存 器 (Linear Feedback Shift 
Register,LFSR), 如 图 2. 2 所 示 。 


=| an =| ani =| an2 | 一 一 | ... =| a =| a 一 


输出 序列 


2.2 ”线性 反馈 移 位 寄存 器 


根据 LFSR 中 反馈 函数 的 系数 c(i 二 1,2,…,n) 取 值 的 不 同 ,这 样 的 反馈 函数 应 该 有 2” 
种 。 令 a ORR t WAB i 级 寄存 器 的 内 容 , 则 第 :十 1 时 刻 寄存 器 的 内 容 为 : 
ai(t+1)=an(t), i-—(0.2,-.—10) 
an(t+1)= c,a1G) Bea(t) DB @ cian Ct) 


称 多 项 式 
watte petat 
为 该 LFSR 的 联接 多 项 式 。 
显然 ,LFSR 的 联接 多 项 式 与 反馈 函数 一 一 对 应 。 如 果 知 道 LFSR 的 反馈 函数 ,就 可 以 
求 出 LFSR 的 联接 多 项 式 ; 反之 亦 然 。 
例 2.1 以 4 级 线性 反馈 移 位 寄存 器 为 例 ,如 图 2.3 所 示 , 设 状态 转移 关系 为 : 
ai(t+1)=an(t), i=1,2,3 
alt+1)=a(t) Ga 


ENSE =| CD - a 


输出 序列 


图 2.3 4 级 LFSR 的 结构 
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假设 初始 状态 为 (a1 ,az , as,a) 一 (0,1.1,0) , 则 可 根据 反馈 函数 计算 出 该 LFSR 在 各 
时 刻 的 所 有 状态 ,如 表 2.1 所 示 。 


表 2.1 4 级 LFSR 的 全 状态 表 


t as az az t as az az ai 
0 0 1 1 8 y 1 i! 0 
1 0 0 1 9 1 1 1 1 
2 1 0 0 10 0 1 d 1 
3 0 1 0 11 1 0 1 1 
4 0 0 1 12 0 1 0 1 
5 0 0 0 13 时 0 1 0 
6 1 0 0 14 I 1 0 1 
T f 1 0 15 0 1 1 0 


由 状态 转移 过 程 可 见 , 当 :一 15 时 该 寄存 器 的 状态 恢复 至 :一 0 时 刻 的 状态 , 因此 之 后 
的 状态 将 开始 周期 性 重复 。 
这 个 移 位 寄存 器 输出 的 序列 就 是 : 
011001000111101 011001000111101 …: 
序列 的 周期 为 15(2 — D. 
还 可 以 用 更 为 直观 的 状态 转移 图 来 描述 状态 转移 过 程 ,如 图 2.4 所 示 。 


--0100 


1001 [^w 
一 一 [poi es) 


0011 


1010 


Aia 
= 


图 2.4 4 级 LFSR 的 状态 转移 图 


该 LFSR 的 状态 转移 图 仅 由 两 个 圈 构 成 ,其 中 一 个 是 由 全 零 状态 构成 的 长 度 为 1 的 圈 ， 
另 一 个 是 由 全 部 其 余 2" 一 1 个 状态 构成 的 长 度 为 2 一 1 的 圈 。 

并 非 所 有 的 4 级 LFSR 的 状态 转移 图 都 是 这 样 的 形式 ,如 图 2. 5 所 示 的 示例 就 是 一 个 
特例 。 
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例 2.2 在 4 级 LFSR 中 ,假设 联接 多 项 式 为 x! 十 十 zx? 十 zx 十 1。 
初始 状态 0001 对 应 的 状态 转换 图 如 图 2. 6 所 示 。 


输出 序列 


2.5 4 级 LFSR 的 结构 示例 


0011 


ug 


, 


1000 


图 2.6 初始 状态 0001 对 应 的 状态 转换 图 


初始 状态 0010 对 应 的 状态 转换 图 如 图 2.7 所 示 。 
初始 状态 1111 对 应 的 状态 转换 图 如 图 2. 8 所 示 。 


0101 


0001 


0010 


2.7. 初始 状态 0010 对 应 的 状态 转换 图 


TE 


1110 


1101 1011 


0111 


图 2.8 初始 状态 1111 对 应 的 状态 转换 图 


以 上 3 个 状态 转换 图 中 的 状态 分 别 是 5 个 ,加 上 0000 ,构成 全 部 的 16 种 状态 。 


在 实际 应 用 中 ,状态 转换 周期 的 大 小 会 影响 流 密码 系统 的 安全 性 ,往往 希望 找到 周期 尽 


量 大 的 循环 序列 。 


n 级 最 大 周期 线性 移 位 寄存 器 序列 : 如 果 二 进 制 上 的 次 多 项 式 a" Heia” Het 
CX 十 1 为 联接 多 项 式 的 n 级 LFSR 产生 的 非 零 序列 周期 为 2" 一 1, 称 这 个 序列 是 n 级 最 大 
周期 线性 移 位 寄存 器 序列 ,简称 m 序列。 产生 周期 为 2" 一 1 的 m 序列 的 n 级 LFSR 又 称 最 


长 线性 移 位 寄存 器 。 


本 原 多 项 式 : n 次 多 项 式 f (x), 如 果 满 足下 列 条 件 : 


CD f(z) 为 不 可 约 多 项 式 ; 

(2) f(z) 可 整除 x" 十 1 ,m 二 2" 一 1; 

(3) f(z) 不 能 整除 x*-- 1. qm—2" —1; 
那么 称 f(x) 为 本 原 多 项 式 。 


不 难看 出 ,一 个 序列 是 否 是 m 序列 应 当 与 产生 这 一 序列 的 LFSR 的 联接 多 项 式 密切 相 


关 。 这 里 不 加 证 明 地 给 出 以 下 结论 : 
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n R LFSR 所 产生 的 非 零 序列 是 冯 序 列 的 充 要 条 件 ,是 其 联接 多 项 式 为 二 进 制 上 的 本 
原 多 项 式 。 

这 一 结论 同时 也 表明 : 一 个 LFSR 为 最 长 移 位 寄存 器 的 充 要 条 件 是 其 联接 多 项 式 为 本 
原 多 项 式 。 

K 2.2 列 出 了 nn 二 10 的 常用 本 原 多 项 式 。 


表 2.2 F(x) 上 常用 的 本 原 多 项 式 


n 本 原 多 项 式 n 本 原 多 项 式 
2 a rl 7 abl 
3 iul 8 atate ++ 
4 zf 十 z+1 9 a* atl 
5 a++ 10 a++ 
6 a*d adl 
2.2 DES 


1973 年 ,美国 标准 和 技术 协会 (NIST) 开 始 着 手 研究 除 国 防 部 外 的 其 他 部 门 的 计算 机 
系统 的 数据 加 密 标 准 , 于 1973 年 5 月 15 日 和 1974 年 8 月 27 日 先后 两 次 向 公众 发 出 了 征 
求 加 密 算法 的 公告 。 加 密 算法 的 要 求 包括 以 下 几 点 : 

(1) 提供 高 质量 的 数据 保护 ,防止 数据 未 经 授权 的 泄露 和 未 被 察觉 的 修改 。 

(2) 具有 相当 高 的 复杂 性 ,使 得 破译 的 开销 超过 可 能 获得 的 利益 ,同时 又 要 便于 
理解 。 

(3) DES 密码 体制 的 安全 性 应 该 不 依赖 于 算法 的 保密 ,其 安全 性 仅 以 加 密 密 钥 的 保密 
为 基础 。 

(4) 实现 经 济 ,运行 有 效 ,并 且 适 用 于 多 种 完全 不 同 的 应 用 。 

经 过 多 轮 筛选 ,1977 年 1 月 美国 政府 声明 : 采纳 IBM 公司 设计 的 方案 作为 非 机 密 数 据 
的 正式 数据 加 密 标 准 (Data Encryption Standard, DES)。DES 密码 体制 基于 早期 的 Lucifer 
密码 ,是 一 种 典型 的 分 组 密码 体制 。 

DES 算法 具有 对 称 性 , 既 可 用 于 加 密 又 可 用 于 解密 。 对 称 性 带 来 的 一 个 很 大 的 好 处 在 
于 硬件 实现 ,DES 的 加 密 和 人 解密 可 以 用 完全 相同 的 器 件 来 实现 。 

DES 算法 的 明文 分 组 是 64 位 ,输出 密 文 也 是 64 位 。 所 用 密 钥 的 有 效 位 数 是 56 位 ,加 
上 校 验 位 共 64 位 。 

总 体 流程 如 表 2.3 所 示 。 输 入 的 64 位 明文 , 先 经 初始 IP 变换 ,形成 64 位 数据 ,64 位 数 
据 被 分 成 两 部 分 ,分 别 是 工 部 分 和 R 部 分 ; LOBDR 经 16 次 迭代 ,形成 新 的 64 位 数据 ; 新 的 
64 位 数据 再 经 初始 逆 变 换 , 输 出 64 位 密 文 。 

下 面 分 步 进 行 描述 。 
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表 2.3 DES 算法 流程 


输入 64 位 数据 
初始 变换 (IP) 
工 (0) R0) 

L(1)=R(0) R(1)=L(0) xor FC R(0),K(1) ) 
L(2)=R(1) R(2)=L(1) xor FC R(1),K(2) ) 
L(15) — RCI4) R(OS)—LOM4) xor FC RO4) .K(C15) ) 
L(16) — RCIS) R(16) — LO) xor FC ROS) .KC16) ) 

LOT —R(G6) R(17)=1(16) 


初始 逆 变 换 (IP ) 


输出 64 位 数据 


1. 初始 变换 IP 
IP 初始 变换 由 一 个 8X8 的 变换 矩阵 来 完成 ,如 表 2. 4 所 示 。 初 始 变换 是 线性 变换 , 它 
使 明文 发 生 位 置 上 的 变化 。 
设 工 是 明文 ,变换 后 zo 二 IP(z) 二 LoRo ,这 里 Lo。 和 Ro 都 是 32 位 。 
表 2.4 了 初始 变换 表 


58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 9 1 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 13 5 
63 55 47 39 3l 23 15 7 
2. 迭代 运算 


迭代 运算 按 以 下 规则 进行 : 
L; = Ria 
R; 2 Lii Q f(Ra kh) 
其 中 ,1 志 i 过 16, 即 迭代 次 数 是 16 K. 
Li 和 R: 都 已 确定 ,下 面 来 看 函数 f(R,k)。 
函数 A(R,k) 中 第 一 个 变量 是 32 位 ,第 二 个 变量 是 48 位 子 密 钥 ( 子 密 钥 的 产生 将 在 后 
面具 体 介绍 ) ,输出 是 32 位 ,如 表 2.5 所 示 。 
表 2.5 F(R(D.K(i+D) 


ra (i) xor ki(it1) rı (i) xor k: (i+1) E rs (i) xor E (i+1) 
ra (i) xor E G1) rs (i) xor ks (i+1) hn rs G) xor kz (it+1) 


ros (i) xor ka (i+1) ra (i) xor ka (Gi +1) ph rı (i) xor Ris(Ci 十 1) 
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迭代 运算 的 具体 过 程 如 下 : 
COD 将 第 一 个 变量 尺 经 一 个 扩充 函数 EE 扩充 成 48 位 的 串 ,扩充 函数 如 表 2. 6 所 示 。 
表 2.6 扩充 函数 

32 1 2 3 1 5 
4 5 6 7 8 9 
8 9 10 11 12 13 
12 13 14 15 16 17 
16 17 18 19 20 21 
20 21 22 23 24 25 
24 25 26 27 28 29 
28 29 30 31 32 1 


(2) 计算 E(R)@k, 并 将 所 得 结果 分 成 8 个 长 度 为 6 Dg LBS To Tso 

(3) FEX S 盒 进行 介 绍 。 

每 个 S 盒 是 一 个 固定 的 4X16 和 矩阵, 它 的 元 素 由 0 一 15 组 成 ,0 一 15 出 现 的 顺序 不 同 ， 
如 表 2.7 所 示 。 

T; H tton 构成 ,Si(T;) 是 这 样 一 个 非 线 性 运算 : JH tto 对 应 的 整数 来 确定 S; 的 行 ， 
用 talats 对 应 的 整数 来 表 确 定 S; 的 列 ,S; 在 该 行 该 列 对 应 的 二 进 制 表 示 就 是 S;(T;) 的 
取 值 。 


表 2.7 SHKA 

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 

o |a| 4|13| if 2[35| u| 8| 3| 1| 6| 12] 5| 9] of 7 
PME: 0| 15| 7| 4| 14| 2,|13| 1, 10| 6| 12, 11] 9| 5| 3| 8 
2 4 i 14 8 13 6 2 11 15 12 9 y 3 10 5 0 

3 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 | 13 

0 15 1 8 14 6 11 3 4 9 7 2 13 12 0 5| 10 

. [i 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 
p 2 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2.| 15 
3 13 8 10 1 3 15 4 2 11 6 f: 12 0 5 14 9 

0 10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8 

Se X 13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1 
SEO 2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7 
3 i 10 13 0 6 9 8 y 4 15 14 3 11 5 2 | 12 

0 7 13 14 3 0 6 9 10 1 2 8 5 AT 12 4| 15 

: 1 13 8 Li 5 6 15 0 3 4 $ 2 12 1 10 14 9 
dd 2 10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4 
3 3 15 0 6 10 1 13 8 9 4 5 11 12 T 2 | 14 

0 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9 

: 1 14 11 2 12 4 4 13 i 5 0 15 10 3 9 6 
Stm 2 4 2 1 11 10 13 7 8 15 9 12 6 3 14 
3 11 8 12 7 1 14 2 13 6 15 0 10 4 5 3 


第 2 章 对 称 密码 系统 33 


续 表 

0 1 2 3 4 5 6 9 8 9 10 | 11 | 12 | 13 | 14 | 15 

0 12 1 10| 15 9 2 6 8 0| 13 3 1 14 7 5 | 11 

10 | 15 4 2 7| 12 9 5 1 13| 14 0| 11 3 8 
S699 2 9 14 15 5 2 8| 12 3 7 0 4 10 1 13 11 6 
3 4 3 2| 12 9 5| 15| 10| 11 14 1 7 6 0 8 | 13 

0 4 11 2| M 15 0 8| 13 3| 12 9 7 5| 10 6 1 

Scr 1 13 0| 11 7 1 9 1 10| 14 3 5 12 2 | 15 8 6 
2 1 4 11 13 | 12 3 7 14 10 | 15 6 8 0 5 9 2 

3 6 11 13 8 1 4 10 1 9 5 0| 15 14 2 3| 12 

0 13 2 8 4 6| 15| 11 1 10 9 3 14 5 0| 12 $ 

Sc» 1 1 15 13 8 | 10 3 * 4 12 5 6| 11 0| 14 9 2 
2 vi 11 4 1 9| 12| 14 2 0 6 10 | 13 15 3 5 8 

3 2 1 14 T 4 10 8 13 15 12 9 0 3 5 6| 11 


例 2.3 Si(101110)。 

将 101110 按 1,6 $1 2,3,4,5 进行 组 合 ,得 到 10 和 0111 ,转化 为 十 进 制 分 别 是 2 和 ?7。 
查询 SC1) 替 代 盒 ,从 中 找 出 第 2 行 .第 7 列 (注意 : S 盒 中 的 行 号 和 列 号 都 是 从 0 开始 ), 相 
应 的 值 是 11。 于 是 可 得 : 


Si(101110) = 1011 
(4) 每 一 组 6 位 串 T; 在 通过 S 盒 后 将 变 成 4 位 串 ,48 位 串 在 通过 8 个 S 盒 后 将 形成 
32 位 的 串 , 记 为 C= CiCz…Ca C 再 经 过 一 个 换 位 变换 PP ,得 到 FCR 40 ,如 表 2.8 所 示 。 


表 2.8 JCRCD ,KG 十 1)) 中 的 换 位 变换 


16 7 20 21 2 8 24 14 
29 12 28 17 32 27 3 9 
1 15 23 26 19 13 30 6 
5 18 31 10 22 11 4 25 


3. 初始 变换 的 逆 变换 P 
K 2.9 是 初始 变换 IP 的 逆 变 换 。 
表 2.9 初始 变换 的 逆 变 换 IP 


40 8 48 16 56 24 64 32 
39 7 47 15 55 23 63 3l 
38 6 46 14 54 22 62 30 
37 5 45 13 52 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 
33 1 41 9 49 17 57 25 


接 下 来 介绍 DES 子 密 码 的 生成 , 表 2. 10 描述 了 子 密码 的 生成 流程 。 
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表 2.10 子 密码 生成 流程 
原始 64 位 密 钥 
经 换 位 选择 1 得 56 位 密 钥 


C(0)(28 位 ) D(0)(28 位 ) 
COSA DCO ERE) | D(1)==Xo(1)D(0)( 左 移 位 ) 拼接 CODA) ,经 换 位 选择 2 得 KA) 
C(Q)—As C) COD DO) —3s(2 DA) K(2) 
CA5) —as(15) CC14) D(15) —4s(15) D14) K(15) 
C(16) 一 Mac(16)CC15) D(16) —4s(160) DC15) K(16) 


原始 的 64 位 密 钥 并 不 是 全 部 有 效 ,在 位 置 8、16、…、64 上 的 数据 是 校 验 位 ,因此 有 效 密 
钥 长 度 实际 上 只 有 56 位 。 
初始 密 钥 首先 经 过 换 位 选择 , 换 位 选择 和 矩阵 如 表 2. 11 所 示 。 
表 2.11 换 位 选择 1 


57 49 41 33 25 17 9 

1 58 50 42 34 26 18 
10 2 59 51 43 35 27 
19 11 3 60 52 14 36 
63 55 47 39 31 23 15 

7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 


换 位 选择 1 的 矩阵 是 8X7 的 矩阵 ,正好 是 56 位 ,没有 包含 8、16、…、64 等 ,实质 上 是 将 
校 验 位 排除 在 外 。 

经 换 位 选择 1 后 的 56 位 串 经 过 16 次 迭代 ,每 次 迭代 产生 一 个 64 位 子 密 钥 。 

和 迭代 过 程 主要 是 移 位 处 理 和 换 位 选择 2 处 理 。 

移 位 函数 AS CO Ji — 1 MEZ VE PRÉC, üt 2. 12 所 示 。 


2.12 移 位 函数 


换 位 函数 2 是 一 个 8X6 的 矩阵 ,如 表 2. 13 所 示 。 
X2.13 换 位 函数 2 


14 17 11 24 1 5 

3 28 15 6 21 10 
23 19 12 4 26 8 
16 7 27 20 13 2 
41 52 31 37 47 55 
30 40 51 45 33 48 
44 49 39 56 34 53 


46 42 50 36 29 32 
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DES 算法 的 加 密 子 密 钥 和 解密 子 密 钥 是 相反 的 序列 , 即 kd CD) —keC16— D. 

例 2.4 DES 算 法 实例 。 

64 位 明文 的 十 六 进 制 表示 为 : 

*6101035456016789" 
相应 的 二 进 制 表示 为 : 
“0110000100000001000000110101010001010110000000010110011110001001” 
56 位 的 密 钥 的 二 进 制 表示 为 : 
“01000010011010011101101111111010101110111011010011011100” 
加 上 奇 校 验 后 的 64 位 密 钥 Key 二 进 制 表示 为 : 
*0100001100110100011101100111111110101011110111001101001110111001" 
相应 的 十 六 进 制 表示 为 : 
“4334767fabdcd3b9” 
加 密 得 到 密 文 : 
L(16) = *11100111111010100110011100001101" 
R(16) — *01111011011001010111100110101011" 

DES 算法 颁布 之 后 ,引起 了 学 术 界 和 企业 界 的 广泛 重视 。 众 多 厂商 开始 生产 实现 DES 
算法 的 硬件 产品 ,一些 公司 在 市 场 上 买 到 高 效率 的 DES 硬件 产品 后 ,开始 对 重要 数据 进行 
加 密 , 从 而 大 大 推动 了 密码 技术 的 发 展 。 

与 此 同时 ,在 对 DES 密码 进行 了 深入 的 研究 后 ,学 术 界 和 企业 界 围绕 它 的 安全 性 展开 
了 激烈 的 争论 。 有 趣 的 是 ,DES 的 怀疑 者 和 批评 者 并 不 比 拥护 者 少 。 

从 技术 上 说 ,对 DES 的 批评 主要 集中 在 以 下 3 个 方面 : 

(1) 作为 分 组 密码 ,DES 的 加 密 单位 仅 有 64 位 二 进 制 , 这 对 于 数据 传输 来 说 太 小 ,因为 
每 个 分 组 仅 含 8 个 字符 。 

(2) 密 钥 也 只 有 56 位 二 进 制 未 免 太 短 , 各 次 迭代 中 使 用 的 密 钥 是 递 推 产生 的 ,这 种 相 
关 必 然 降低 密码 体制 的 安全 性 。 

(3) 实现 替代 函数 S; 所 用 的 S 盒 的 设计 原理 尚未 公开 ,可 能 留 有 某 种 “后门 ”, 知 道 秘 
密 的 人 或 许可 以 轻易 地 破解 密 文 。 

针对 以 上 DES 的 缺陷 ,研究 者 提出 了 几 种 增强 DES 安全 性 的 方法 ,主要 包括 以 下 
35h. 

d) 三 重 DES 算法 。 用 3 个 不 同 密 钥 的 三 重 加 密 : 

C= E, (Dy CE (P))) 
P = D, (E, (D, (0))) 
这 种 方法 由 密码 专家 Merkle 和 Hellman 推荐 。 

(2) 具有 独立 子 密 钥 的 DES 算法 。 每 一 轮 迭 代 都 使 用 一 个 不 同 的 子 密 钥 ,而 不 是 由 一 
个 56 位 二 进 制 的 密 钥 产生 。 由 于 16 轮 迭 代 的 每 一 轮 使 用 一 个 48 位 二 进 制 的 密 钥 ,所 以 该 
方法 通过 降低 子 密 钥 的 相关 性 ,增强 了 DES 的 加 密 强度 。 

G) 使 用 交换 S 盒 的 DES 算法 。Biham 及 Shamir 证 明 通过 优化 S 盒 的 设计 或 变换 S 


36 计算 机 安全 与 保密 


盒 本 身 的 顺序 ,可 以 增强 DES 算法 的 加 密 强 度 。 


2.3 AES 


1997 4E. NIST 发 起 征集 高 级 加 密 标准 (Advanced Encryption Standard. AES) $5: 3; fj 
活动 ,并 成 立 AES 工作 组 ,希望 寻找 一 种 新 的 分 组 密码 算法 以 取代 DES 算法 。 征 集 AES 
的 规则 包括 以 下 几 点 : 

(D AES 的 设计 应 使 其 密 钥 长 度 可 根据 需要 增加 ; 

(2) AES 应 易于 在 硬件 和 软件 中 实施 的 ; 

(3) AES 应 免费 提供 ,或 在 符合 ANSI 的 专利 政策 条 件 下 提供 。 

除 需 要 满足 以 上 基本 条 件 外 ,算法 的 优 劣 将 在 以 下 几 个 方面 比较 : 

CD 安全 性 (对 抗 密码 分 析 ); 

(2) 计算 效率 ; 

(3) 内 存 的 要 求 ; 

(4) 硬件 和 软件 的 适用 性 。 

1998 年 ,NIST 召开 AES 候选 算法 会 议 ,公布 了 15 个 AES 候选 算法 。 

1999 年 3 月 22 日 ,举行 了 第 二 次 AES 候选 会 议 ,从 候选 算法 中 选 出 5 个 ,入 选 AES 的 
5 种 算法 分 别 是 MARS、RC6、Serpent、Twofish 和 Rijndael 算法 。 

2000 年 10 月 ,美国 商务 部 部 长 Norman 宣布 : 经 过 三 年 来 世界 各 著名 密码 专家 之 间 的 
竞争 ,“Rijndael 数据 加 密 算法 ”最终 获胜 。2001 年 ,AES 算法 正式 公 

AES 采用 了 两 位 比利时 密码 学 家 Joan daemen 和 Vincent Rijmen 的 密码 算法 方案 , 称 
为 Rijndael 算法 。 

类 似 于 DES. AES 也 是 一 种 迭代 型 的 分 组 密码 。 和 迭代 的 轮 数 N, 由 明文 的 分 组 长 度 N。 
和 密 钥 的 长 度 N,(128/192/256 位 ) 共 同 决定 。AES 的 明文 分 组 长 度 Ns 是 128 位 ,也 就 是 
4 个 字 节 ,Ne 对 应 128,192 和 256 位 ,转换 为 字 节 表示 分 别 是 4、6 和 8。 因 此 针对 不 同 的 密 
钥 长 度 的 循环 轮 数 ,如 表 2. 14 所 示 。 


表 2.14 循环 轮 数 N 的 取 值 


N, N,—A4À N,—6 N,—8 
N,—4 10 12 14 
N,—6 12 12 14 
N,—8 14 14 14 


在 加 密 之 前 ,需要 对 明文 数据 块 做 预 处 理 。 

首先 把 明文 块 写 成 字 的 形式 ,每 个 字 包 含 4 个 字 节 ,同时 每 个 字 节 是 GEOP) RIO 
其 次 把 字 节 记 为 列 的 形式 。 类 似 地 , 密 钥 也 要 做 相应 的 处 理 。 例 如 ,Ne 一 4 的 密 钥 可 以 记 为 
表 2. 15 的 形式 。 
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表 2.15 Ne 一 4 的 密 钥 表示 形式 


Koo Ko 天 oz Kos 
Kyo Ki Ki Kis 
Kio Ki 天 zz Kis 
Kyo Kia Ks Kis 


AES 运算 的 对 象 是 字 节 ,而 字 节 运算 是 GF(2*) 域 中 的 运算 。 

下 面 对 GFCO ) 域 进行 简单 的 描述 。 

GF(23) 域 由 从 (00)1s 到 (FF)1s 的 数值 集合 以 及 定义 在 该 集合 中 加 法 和 乘法 运算 构成 。 

GFC ) 域 的 元 素 一 般 有 两 种 表现 形式 ,分 别 是 数值 和 多 项 式 表现 形式 。 

例 2.5 字 节 B=(57)1s 可 以 表示 为 二 进 制 形式 : 

B = brbsbsb,bsbzbibo = 01010111 

多 项 式 形式 是 将 一 个 由 614566s51535201b。 组 成 的 字 节 B 表示 为 系数 为 {0,1) 的 二 进 制 多 

项 式 , 即 ; 
bx! + bix? 十 bsx + bizt +b? 十 box? 十 bix! +b 
因此 ,(57)ws 表 示 成 多 项 式 的 形式 是 : 
a* dix Brxd-1 

GFC2* ) 域 中 的 主要 运算 有 加 法 和 乘法 。 两 个 多 项 式 的 加 法 定义 为 相同 指数 项 的 系数 
之 和 再 模 2 ,简单 地 说 ,就 是 按 位 进行 XOR 运算 。 由 于 每 个 元 素 的 加 法 逆 元 等 于 自己 本 身 ， 
所 以 减法 运算 和 加 法 结果 相同 。 

例 2.6 求 (57)16 十 (83)16。 


G7), + (83)16 

— (01010111); + (10000011); 
— (11010100); 
=(D4)s 

或 采用 其 多 项 式 记 为 : 

(zx 十 十 十 ZX 十 1) 十 (x? 十 Xz 十 1) = 二 十 十 Tz 十? 
将 字 节 和 多 项 式 联系 起 来 的 方法 同样 也 适用 于 GFO 域 中 的 乘法 。 在 乘法 运算 中 ， 
需要 把 两 个 多 项 式 相 乘 的 结果 ,再 对 一 个 不 可 约 多 项 式 m(z) 取 模 。 在 AES 中 ,这 个 不 可 约 
多 项 式 约 定 为 ， 


m(x) 一 xs 十 zi 十 zs 十 zx 十 1 或 (11B)w。 
例 2.7 求 (57)ie。(83)is。 
(57)16 © (83)16 
=i +a ta tate A FaF 


ux" q-xUcx*4 2 a a Faa Ba aa ka a tatl 
— (x FAAA F AAF ba b 41) mod G? zt s ae 
=r + +1 

一 (Cl)1e 


AES 的 加 密 流 程 如 图 2. 9 所 示 , 其 流程 包括 字 节 代 换 (SubBytes) , 行 移 变 换 (ShiftRows) 、 
混合 列 变换 (MixColumns) 和 扩展 密 钥 (AddRoundKey)4 个 关键 操作 。 
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明文 块 State 密 文 
| i 
poese aE 1 
扩展 密 钥 [AddRoundKey) ) i( 扩展 密 钥 (AddRoundKey) 
1 
| H | 
字 节 代 中 行 移 变换 (ShiftR 
' 字 节 代 换 (SubBytes) H 行 移 变换 (ShiftRows) Pm 
1 1 
ES l 
(C 行 移 变换 (ShiftRows)  )ji( 字 节 代 换 (SubBytes) — Jj 
THEN - Me ! H f 
i [混合 列 变换 (MixColumns) 】! 
T 1 
1 
1 人 扩展 密 钥 [AddRoundKey) 】! 
(S SES) 


2.9 AES 算法 的 加 密 流程 


1. 字 节 代 换 

字 节 代 换 是 作用 在 字 节 上 的 一 种 非 线性 变换 , 它 的 实质 就 是 置换 。 相 当 于 DES 中 的 S 
盒 。 通 常 实现 SubBytes 有 两 种 方式 : 直接 S 盒 置 换 和 对 State 求 模 逆 再 进行 仿 射 变换 。 

CD SREM: 将 State 矩阵 中 的 每 个 字 节 替 换 成 一 个 由 S 盒 决 定 的 新 字 节 。S 盒 是 一 
个 固定 的 162€ 16 和 矩阵, 它 的 元 素 由 0x00~0xFF 组 成 ,如 表 2. 16 所 示 。 

例 2.8 假设 StateL0,1] 的 值 是 0x40, 求 SubBytes(40) 。 

那么 让 S ARPHI x 行 等 于 左边 的 数字 (4) 并 让 y 列 等 于 右边 的 数字 (0) ,然后 用 和 
y 作为 索引 查找 出 S 盒 表 中 置换 值 , 则 SubBytes(40) 一 0x09。 

表 2.16 AES 加 密 的 se 


y 


a 
8 

= 
~ 
e 
»- 
a 
o 
oo 
e 
m 

c 
[ 

a 
a 


0 63 | 7c | 77 | 7b | f2 | 6b | 6f | c5 | 30 | 01 | 67 | 2d fe | d7 | ab | 76 
1 ca | b2 | c9 | 7d | fa | 59 | 47 | f0 ad | d4 | a2 af | 9c | a4 72 | c0 
2 b7 | fd | 93 | 26 | 36 | 3f | £7 cc | 34 | a5 | e5 f1 71 | d8 | 31 | 15 
3 04 | c7 | 23 | c3 | 18 | 96 | 05 | 9a | 07 | 12 | 80 | e2 | eb | 27 | b2 | 75 
4 09 | b3 | 2c | la | 1b | 6e | 5a | a0 | 52 | 3b | d6 | b3 | 29 | e3 | 2f | 84 
5 53 | dl | 00 | ed | 20 fc | b1 | 5b | 6a | cb | be | 39 | 4a | 4c | 58 | cf 
6 
7 
8 
9 


dO | ef | aa fb | 43 | 4d | 33 | 85 | 45 | f9 | 02 | 7f | 50 | 3c | 9f | a8 
51 | a3 | 40 | af | 92 | 9d | 38 | f5 bc | b6 | da | 21 | 10 ff f3 | d2 
ced | Oc | 13 | ec | 5£ | 97 | 44 | 17 | cd a7 | Te | 3d | 64 | 5d | 19 | 73 
60 | 81 | 4f | dc | 22 | 22 | 90 | 88 | 46 | ee | b8 | 14 | de | 5e | Ob | db 
e0 | 32 | 3e | Oa | 49 | 06 | 24 | 5c | c2 | d3 | ac | 62 | 91 | 95 | e4 | 79 
d5 | 4e | a9 | 6c | 56 | f4 ea | 65 | 7a | ae | 08 
ba | 78 | 25 | 2c | 1c | a6 | b4 | c6 | e8 | dd | 74 lf | 4b | bd | 8b | 8a 
03 | f6 | Oe | 61 | 35 | 57 | b9 | 86 | cl ld | 9e 
d9 | 8e | 94 | 9b | le | 87 | e9 | ce | 55 | 28 | df 
bf | 42 | 68 | 41 | 99 | 2d | Of | bO | 54 | bb | 16 
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(2) 字 节 变换 的 第 二 种 方式 , 相 比 第 一 种 方式 更 复杂 ,但 是 在 软 、 硬 件 实现 时 ,消耗 资源 
更 少 。 下 面 针 对 第 二 种 方式 的 介绍 也 体现 了 S 盒 的 设计 原理 。 

如 果 GF(2*) 域 上 的 二 进 制 多 项 式 a Go 5 bGo i E TT 

aCr)b(r) = 1 mod m(x) 

IA aC B BE alr) = blr), E bla) Sba 十 bia? +b +Hba* dba a? +b? +b r +b, 
则 字 节 a 的 逆 a 为 br bs bs ba babzbi bo o 

字 节 代 换 包括 两 个 变换 过 程 : 首先 对 每 个 字 节 a 在 GF(2*) 域 运用 欧 几 里 德 扩 展 定理 
分 别 求 模 逆 , 然 后 对 所 求 得 的 模 逆 结果 进行 仿 射 变换 。 


仿 射 变换 的 运算 规则 如 下 : 
b] mn 0020111 H^] m 
b, 110001 I1 1|^5 1 
bs 111000 1 iie 0 
wl [111 10 0 0 ijji 0 
P 01111 90 0 0|l5 Flo 
b, 0 1 3 t i Ei 0 0| 5 1 
bs 00 1 1 1 1 1 0 1 
bj) 1000011 1 1 ipy L0 


其 中 ,651565sb403bsb1bo HFW a fa s 
例 2.9 当前 State 的 值 是 : 


党 


求 其 SubBytes 变换 。 

第 一 种 方式 : S 盒 查 表 方式 ,将 矩阵 中 每 个 元 素 按 S 盒 查 表 得 到 结果 如 下 。 
rd4 e0 b8 le 
27 bf b4 41 
11 98 5d 52 
Lae fl e5 30j 

第 二 种 方式 : 假设 需要 求解 SubBytesCl90 C58 1 £758 9 列 ) ,那么 步骤 如 下 。 

首先 ,对 19(00011001) 用 欧 几 里 德 扩展 定理 求 模 逆 。 

YE GF(28 ) 域 中 ,“19” 可 表示 成 (z4 十 zs 十 1), 且 mCz) 一 za 十 zi 十 zs 十 zx 十 1 或 
(11B)ie, 则 : 


100011011 — 11111。11001 十 1100 
11001 = 10 * 1100 0-1 
1100 = 1100*1 
所 以 : 
y =0 
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y =l 
y; =0—1»11111 = 11111 
ya = 1— 11111 » 10 = 111111 = 0x3f 
因此 ,19- '! Jy 0x3f. 
其 次 , 仿 射 变换 过 程 。 


ee 
Ba a a S 
Ó-—--000n.-25n&u 


C e e RR HA 
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二 二 口 口 口 一 一 一 
OOO- 
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即 得 SubBytes (19) Jy 0xd4。 

这 种 利用 GF(28) 域 上 先 模 逆 再 求 映 射 来 构造 S 盒 的 好 处 : 表述 简单 ,使 人 相信 AES 
算法 没有 设置 “后 门 ", 具 有 良好 的 抗 差分 和 线性 分 析 能 力 。 仿 射 变换 过 程 的 目的 是 为 了 复 
杂 化 S 盒 的 代数 表达 ,以 防止 代数 插值 攻击 ,提高 算法 的 安全 性 。 

2. 行 移 变换 

行 移 变换 (ShiftRows) 是 指 加 密 过 程 中 ,将 对 数据 块 的 第 0 一 3 行进 行 循环 左 移 运算 。 

向 左 移动 的 位 数 与 加 密 的 数据 块 有 关 , 行 移 变换 的 位 参数 如 表 2. 17 所 示 。 

表 2.17 行 移 变换 的 位 参数 


移 位 值 
N, 
C, G C G 
4 0 1 2 3 
6 0 2 3 
8 0 1 4 


63 09 cd ba 63 09 cd ba 
ca 53 60 70 53 60 70 ca 
b7 dO c0 cl c0 cl b? dO 
04 51 c7 80 80 04 51 c7 
3. 混合 列 变换 
经 过 以 上 变换 后 的 矩阵 元 素 都 是 GF(2* ) 域 的 成 员 , 加 法 和 乘法 都 是 在 GF(2) 域 上 
进行 。 
混合 列 变换 (MixColumns) 是 用 多 项 式 相 乘 定义 的 。 这 里 的 多 项 式 的 系数 是 用 字 节 的 
十 六 进 制 表 示 。MixColumns 变换 可 以 表示 为 : 
MixColumns( d;) = Cj * S; 
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即 : 
deo doi do: dos 2. 03 O1 ‘Ol Soo Son (S S 
du, dii dis dal hon 02 03 Ol| |S$ Bs S. Sis 
dis dii dia dia) OT 01 02 O3| |Sj, Sa Se; Sia 
dis dia du dy) 402. 02 or 02] [Su Ss Xue Ss 


其 中 ,C; 作 用 到 中 间 状 态 块 5S; 的 每 一 列 , 且 C 是 一 个 4 字 节 元 素 的 固定 矩阵 ,矩阵 中 


对 应 元 素 的 乘法 结果 需要 对 x 十 1 取 模 。 
例 2.10 已 知 当前 State 是 : 
d4 
bf 
5d 
30 


求 其 MixColumns 变换 后 的 结果 。 


02 03 01 017 
01 02 03 01 
01 01 02 03 


e0 b8 
b4 41 
52. 11 
ae fl 


03 01 01 02; 13C 
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经 过 和 矩阵 相 乘 ,最 后 得 经 MixColumns 变换 后 的 结果 为 : 


04 
66 
81 
e5 


4. 扩展 密 钥 


e0 48 
cb f8 
19 d3 
9a 7a 


28 


04 


66 


扩展 密 钥 (AddRoundKey) 是 将 N 个 字 节 的 轮 密 钥 异 或 到 相应 状态 State 上 。 用 于 每 
一 轮 的 N, 个 字 节 的 轮 密 钥 取 自 扩展 的 密 钥 。 


轮 密 钥 通过 扩展 AES 的 密 钥 得 到 , 接 下 来 介绍 密 钥 扩 展 的 过 程 。 


由 AES 算 法 加 密 的 流程 图 可 知 ,AES 需要 N, 十 1 个 轮 密 钥 。 因 此 需要 把 Ni 个 字 节 长 
的 输入 密 钥 & 扩展 成 长 度 为 NeCN- 十 1) 个 字 节 的 扩展 后 密 钥 eL] E 2. 10 所 示 。 
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Ni 个 字 节 的 输入 密 钥 
EX SN, 


1 TN, 密 钥 扩展 算法 


LEXIZEEES I ILI IseEEIEI-EESILEIII-:EI 
w[0] 上 [1 w[2] w[N,] 
L J 


扩展 后 密 钥 w[NKN+1)] 


图 2.10 AES 密 钥 扩展 


AES 扩展 密 钥 涉及 以 下 几 个 模块 : 

A) RotWord()。 它 表示 把 一 个 4 个 字 节 的 序列 [ao ,al,as,as]] 左 移 一 个 字 节 变 为 
[ai saz «a5 sao]. 

(2) SubWord()。 对 一 个 4 字 节 的 输入 字 [Lao sais asas] 的 每 一 个 字 节 进行 S 盒 变 
换 , 和 前 面 讲 的 S 盒 变换 是 一 样 的 。 

(3) Rcon[]。 轮 常数 Recon[ 详 表示 表示 32 [iE f] E [a^ ! ,0x00,0x00,0x00]。 这 里 
2 (02) a 的 ;一 1 次 方 是 z=(02) 的 ;一 1 次 方 的 十 六 进 制 表示 ,于 是 得 到 : 


Rcon[1] = [01,00,00,00] 
Rcon[2] = [02.00,00,00] 
Rcon[3] = [04,00,00,00] 
Rcon[4] = [08.00.00,00] 
Rcon[5] = [10.00.00.00] 
Rcon[6] = [20,00,00,00] 
Rcon[7] = [40.00.00.00] 
Rcon[8] = [80.00.00.00] 
Rcon[9] = [1b.00,00,00] 


Rcon[10] = [36.00,00,00] 
(4) 扩展 密 钥 生成 。 根 据 N< 和 Ne 二 6 两 种 不 同 的 情况 , 密 钥 扩展 算法 是 不 同 的 。 
当 Ni 和 6 时 , 密 钥 扩展 算法 的 伪 代 码 如 下 : 


fori: =0toM-1 
wli] = (koi, ki, Kui, ki) // ky, &— A 
fori: = K toNMN - 1 
temp = w[i -1] 
if0!- (imodN) ,thenw[i] = temp XOR w[i - N] ; 
if 0 = ( imod MW) ,thenw[i] = SubWord(RotWord(temp)) XOR w[i — N,] XOR Rcon[ i/N,] ; 


当 Ne>6 时 , 密 钥 扩展 算法 的 伪 代 码 如 下 : 


fori: = OtoN - 1 

w[i] = (koi; ki, ki, ki) // 上: 是 一 个 字 节 
fori: = WtoMN— 1 

temp = w[i - 1] 
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if0!- (imodN,),thenw[i] = temp XOR w[i - N]; 

if 4= (imodN,),then w[i] = SubWord(temp) XOR w[i - N] ; 

这 样 就 得 到 了 长 度 为 Ni(N, 十 1) 个 字 的 扩展 后 密 钥 wLNeCN, 十 1)]。 

接 下 来 是 子 密 钥 的 选择 过 程 : 加 密 时 ,第 i 个子 密 钥 就 是 W ni Wa Wuite tt 
Wy xiii 解密 时 的 对 应 关系 相反 。 

以 轮 数 为 N,、 密 钥 人 长度 128 位 为 例 ,AES 算法 可 完整 描述 如 下 : 

CD 子 密 钥 生成 。 无 论 是 AES 加 密 还 是 解密 ,首先 进行 密 钥 扩展 , 即 把 Ni 个 字 节 长 的 
输入 密 钥 扩展 成 长 度 为 Ni(N; 十 1) 个 字 节 的 扩展 后 密 钥 w。 结 合 前 面 关 于 AddRoundKey 
所 讲 , 由 于 本 例 中 N= 4, 所 以 应 按 第 一 种 情况 CN: 二 6) 进 行 密 钥 扩展 。 过 程 如 下 。 

将 4 字 节 密 钥 排列 成 4X4 字 节 的 和 矩阵, 即 按 以 下 方法 扩展 成 44 90. 分 别 记 扩展 后 
密 钥 ww 的 前 4 列 为 k(0)、k(1)、k(2) 及 k&(3)。w 的 后 40 列 按 i 能 否 被 4 整除 ,相应 地 分 两 
种 情况 进行 扩展 。 

M iA 时 ,着 i mod 4 关 0, 则 : 

k(i) = kG— DXOR k(i—4) 
1; i mod 4 = 0, 则 ; 
k(i) = SubWord(RotWord(k(i—1))) XOR k(i—4) XOR Reon((i— 4)/4) 

此 时 , 密 钥 扩展 过 程 用 到 上 面 的 RotWordO ,SubWordO fll RconO 3. 种 变换 。 

经 过 以 上 步骤 之 后 ,那么 第 i 轮 的 轮 密 钥 则 为 : 

Rk(4i),k(4it1),k(di+2),k(4i+3) 0x ix N, 

(2) 加 密 过 程 。 对 明文 块 State 循环 执行 以 下 操作 : 

(D 扩展 密 钥 (AddRoundKey); 

© 依次 迭代 进行 (N, 一 1) 轮 SubBytes,ShiftRows, MixColumns, AddRoundKey; 

© 在 最 后 一 轮 中 进行 SubBytes、ShiftRows、AddRoundKey。 

CD 解密 过 程 。 由 于 在 GF(2°) 域 进行 AES 加 密 的 各 变换 均 可 逆 , 因 此 解密 算法 的 结 
构 和 加 密 的 结构 相同 ,相应 的 变换 为 加 密 时 的 道 变换 。 

例 2.11 加 密 过 程 MixColumns 选择 的 固定 矩阵 : 

2 03 01 01 
01 02 03 01 
01 01 02 03 
03 01 01 02 
其 道 为 : 

0e 09 0d Ob 
0b 0e 09 Od 
Od Ob Oe 09 
09 Od Ob Oe 

综合 AES 加 密 过 程 ,不 难得 出 以 下 两 点 : 

(D InvSubByte 作用 于 每 个 字 节 ; InvShiftRows 不 改变 字 节 的 值 . 仅 进行 移 位 操作 ; 
InvSubByte 和 InvShiftRows 的 顺序 是 可 以 交换 的 。 

Q 道 混 合 列 变换 满足 : InvMixColumns (State 由 Round. Key) = InvMixColumns 
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(State) € InvMixColumns( Round. Key) 。 
因此 , 除 第 一 轮 和 最 后 一 轮 外 ,在 循环 过 程 的 N, 一 1 轮 中 可 以 交换 AddRoundKey 和 
InvMixColumns 的 操作 顺序 。 交 换 顺 序 之 后 的 过 程 构成 AES 的 解密 算法 。 
AES 的 解密 流程 如 图 2. 11 所 示 。 
ax 解密 所 得 明文 


ES 
扩展 密 钥 (AddRoundKey) ) !( 扩展 密 钥 (AddRoundKey) ) 


道行 移 变换 (InvShifRows) 


1 
逆 字 节 变 换 (InvSubBytes) 


最 后 1 轮 


| 
i] 
1 
1 
1 
1 
1 
1 
1 
1 


人 逆行 移 变换 UnvShifRows) ) | 
1 


循环 N, 一 1 轮 
扩展 密 钥 (AddRoundKey) 


逆 混 合 列 变换 (InvMixColumns) 


2.11 AES 算法 的 解密 流程 


2.4 MWERA 


分 组 密码 加 密 的 消息 长 度 都 是 固定 的 ,如 DES 为 64 位 ,AES 为 128 位 、192 位 或 256 
位 ; 而 在 实际 应 用 中 要 处 理 的 消息 往往 又 是 任意 长 度 的 ,于 是 不 可 避免 地 引出 一 个 重要 的 
实施 问题 , 即 加 密 模式 问题 。 

1980 年 ,NIST 公布 了 4 种 DES 的 工作 模式 : 电码 本 (ECB) 模 式 , 密码 分 组 链接 
(CBC) 模 式 , 密码 反馈 (CFB) 模 式 和 输出 反馈 (OFB) 模 式 。 其 中 , ECB 和 CBC 属于 块 加 
密 ,CFB 和 OFB 属于 流 加 密 。 

下 面 以 DES 为 例 , 对 以 上 几 种 加 密 模 式 进行 说 明 。 

为 便于 描述 ,此 处 假设 已 是 明文 块 (64 位 ),C 是 密 文 块 (64 位 ),K 是 加 密 密 钥 ,Ex CP 
是 加 密 函 数 ,Dk (Ci) 是 解密 函数 。 

1. ECB 模式 

ECB(Electronic Code Book) 模 式 是 最 常用 的 加 密 模式 之 一 , 它 对 明文 分 组 不 进行 任何 
处 理 , 直 接 进 行 加 密 , 得 到 的 结果 就 是 密 文 。 

ECB 模式 加 密 算法 表示 为 : 

C; = Bth,y 

ECB 模式 解密 算法 表示 为 : 

P; ^ DG) 

ECB 模式 加 密 过 程 如 图 2.12 所 示 。 
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图 2.12 ECB 加 密 模式 图 解 


ECB 模式 解密 过 程 如 图 2. 13 所 示 。 
n-M | 


KH sme | [KH see] o [e jH sese 


2.13 ECB 解密 模式 图 解 


例 2.12 明文 是 “securitysecurity”, 密 钥 是 “12345678”, 如 果 采 用 ECB 模式 进行 加 密 

生成 的 密 文 是 : 
“5bd92773264cf76b5bd92773264cf76b” 

不 难看 出 ,加 密 后 的 密 文 “5bd92773264cf76b5bd92773264cf76b” 中 出 现 了 重复 的 部 分 ， 
说 明 ECB 的 加 密 是 分 组 独立 进行 的 ,不 能 隐蔽 数据 模式 。 

ECB 模式 有 以 下 优点 : 

(1) 每 个 分 组 可 以 独立 进行 加 密 , 不 必 按 次 序 进行 ; 

(2) 可 并 行 运算 ,速度 快 ,易于 标准 化 ; 

(3) 一 个 错误 仅仅 会 对 一 个 密 文 块 产生 影响 

同时 ,ECB 模式 又 有 以 下 缺点 : 

(1) 相同 的 明文 分 组 永远 被 加 密 成 相同 的 密 文 分 组 ; 

(2) 不 能 隐蔽 数据 模式 。 

2. CBC 模式 

1976 年 ,IBM 率先 提出 密码 分 组 链接 (Cipher-Block Chaining ,CBC) 模 式 。 与 ECB 模 
式 不 同 的 是 : CBC 模式 引入 随机 初始 向 量 , 并 将 当前 的 明文 分 组 和 前 一 个 密 文 分 组 异 或 后 
作为 新 的 明文 分 组 进行 加 密 , 这 样 使 得 相同 的 明文 分 组 可 以 产生 不 同 的 密 文 分 组 。 设 IV 
是 初始 向 量 ,第 一 个 块 的 下 标 为 1。 

CBC 模式 加 密 算法 可 表示 为 : 

C, — IV 
C; —Ek(P;QQ Ca) lxixn 

其 中 ,Co=IV 是 随机 初始 变量 。 

CBC 模式 解密 算法 可 表示 为 : 
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G= 
P,— D(C) QCa 1[i<n 
CBC 模式 加 密 过 程 如 图 2. 14 所 示 。 


密 文 块 1 


图 2.14 CBC 模式 加 密 图 解 
CBC 模式 解密 过 程 如 图 2. 15 所 示 。 


n-Mj 


图 2.15 CBC 模式 解密 图 解 


由 于 CBC 模式 引入 随机 初始 向 量 ,隐藏 了 明文 的 数据 模式 ,在 一 定 程度 上 能 防止 数据 
算 改 ,安全 性 好 于 ECB; 不 过 CBC 模式 不 太 适 合并 行 计算 ,有 可 能 导致 错误 传播 。 
例 2.13 设 明文 是 "securitysecurity”, 密 钥 是 "12345678”, 随 机 初始 变量 IV 是 “12345678”， 
Fè CBC 模式 对 明文 进行 加 密 的 过 程 如 下 : 
将 明文 “security” 转 换 成 十 六 进 制 的 ASCI 码 :“7365637572697479”。 
将 密 钥 “12345678” 转 换 成 十 六 进 制 的 ASCII 码 :“3132333435363738”。 
首先 用 密 钥 对 明文 “security” 进 行 加 密 得 到 密 文 : 
“1b57ee503eb96d9c” 
将 密 文 “1b57ee503eb96d9c” 与 “7365637572697479”(IV :“12345678”) 异 或 得 到 : 
*68328d254cd019e5" 
然后 用 密 钥 “3132333435363738” 对 明文 “68328d254cd019e5” 进 行 加 密 得 到 密 文 : 
*dcObeel99cd46d20" 
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于 是 ,采用 CBC 模式 对 明文 “securitysecurity” 的 加 密 最 终结 果 是 : 
“1b57ee503eb96d9cdc0bee199cd46d20” 
3. CFB 模式 
CFB(Cipher Feed Back) 模 式 类 似 于 CBC 模式 ,但 是 它 采 用 了 密 钥 流 生成 器 ,将 分 组 密 
码 转化 成 流 密码 。 在 CFB 模式 中 , 先 加 密 前 一 个 块 的 密 文 ,然后 将 得 到 的 结果 与 明文 块 异 
或 产生 当前 分 组 ,所 得 结果 反馈 进入 移 位 寄存 器 作为 下 一 阶段 的 输入 。 
CFB 模式 的 自 同步 能 力 和 CBC 模式 是 相同 的 ; 车 密 文 的 一 整 块 发 生 错 误 ,CFB 模式 仍 
能 解密 大 部 分 数据 ,而 仅 有 一 位 数据 出 错 。 
CFB 模式 加 密 算法 可 表示 为 : 
C= EkCC i) D P, 
其 中 ,Co=IV 是 随机 初始 变量 。 
CFB 模式 解密 算法 可 表示 为 ， 
P; = Ex (G1) Ci 
CFB 模式 加 密 过 程 如 图 2. 16 所 示 。 


K L—-( 块 加 密 ) K | sung ] K || 块 加 密 ) 


图 2.16 CFB 模式 加 密 图 解 
CFB 模式 解密 过 程 如 图 2. 17 所 示 。 
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1 1 1 
K | ~ 人 块 解密 ] x | nw ) k || 块 解密 ] 
异 或 异 或 


图 2.17 CFB 模式 解密 图 解 


CFB 模式 具有 自 同步 的 能 力 , 可 以 加 密 任意 长 度 的 消息 ,非常 适合 数据 流 的 加 密 。 不 
过 ,与 CBC 模式 一 样 ,CFB 模式 也 不 太 适 合并 行 计算 ,并且 存在 错误 传播 。 
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例 2.14 明文 是 “securitysecurity”, 密 钥 是 "12345678”, 随 机 初始 变量 IV 是 “12345678”， 
按 CFB 模式 对 明文 进行 加 密 的 过 程 如 下 : 
将 明文 “security” 转 化 成 十 六 进 制 的 ASCII 码 :“7365637572697479”。 

将 密 钥 “12345678” 转 化 成 十 六 进 制 的 ASCI 码 :“3132333435363738”。 
“3132333435363738”(IV“12345678”) 被 密 钥 “3132333435363738” 加 密 后 密 文 是 ， 
“96d0028878d58c89” 

将 “96d0028878d58c89” 与 明文 “7365637572697479” 异 或 得 到 : 
“e5b561fd0abcf8f0” 
再 用 密 钥 *3132333435363738” 对 “e5b561fd0abcf8f0” 进 行 加 密 得 到 的 密 文 : 


“ff03803dd2c97cal” 
“ff03803dd2c97cal” 与 明文 的 十 六 进 制 字 符 串 “7365637572697479” 异 或 后 得 到 :; 
“8c66e348a0a008d8” 
于 是 ,最 终 的 密 文 是 : 
"e5b561fd0abcf8f08c66e348a0a008d8" 
4. OFB 模式 


OFB(Out Feed Back) 模 式 的 加 密 模式 与 CFB 的 模式 相似 ,不 同 之 处 是 OFB 将 加 密 算 
法 的 输出 反馈 到 了 移 位 寄存 器 ,而 CFB 模式 将 密 文 单元 反馈 到 了 移 位 寄存 器 。 
OFB 模式 加 密 算法 可 以 表示 为 : 
Z,-ELRG, i. Gi ZB 
Hp , Zo = IV 是 随机 初始 变量 。 
OFB 模式 解密 算法 可 以 表示 为 : 
Z = Exr(2Z), B,-2ZQG 
OFB 模式 加 密 过 程 如 图 2. 18 所 示 。 


K [一 > 块 加 密 ] 


明文 
u 


ED — ŒD 0 Qe» 


图 2.18 OFB 模式 加 密 图 解 
OFB 模式 解密 过 程 如 图 2. 19 所 示 。 
OFB 模式 的 优点 是 错误 传播 小 ; 缺点 是 对 通信 双方 的 同步 要 求 高 ,也 不 适合 并 行 
计算 。 
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1 ! 1 

K 块 解密 K 块 解密 K 块 解密 

e 块 解密 ) I— (ses ) xen I—-( 块 解密 ) 


图 2. 19 OFB 模式 解密 图 解 


例 2.15 设 明 文 是 “securitysecurity”, 密 钥 是 "12345678”, 随 机 初始 变量 IV 是 “12345678”， 
按 OFB 模式 对 明文 进行 加 密 的 步骤 如 下 : 
将 明文 “security” 转 化 成 十 六 进 制 的 ASCII 码 :“7365637572697479”。 
将 密 钥 *12345678” 转 化 成 十 六 进 制 的 ASCI 码 :“3132333435363738”。 
“3132333435363738”(IV*“12345678”) 被 密 钥 “3132333435363738” 加 密 后 的 密 文 是 : 
“96d0028878d58c89” 
将 “96d0028878d58c89” 与 明文 “7365637572697479” 异 或 得 到 : 
“e5b561fdoabcf8f0” 
再 用 密 钥 “3132333435363738” 对 “96d0028878d58c89” 进 行 加 密 后 得 到 的 密 文 : 
“e97598df296f12aa” 
“e97598df296f12aa” 与 明文 “7365637572697479” 异 或 后 得 到 ， 
"9al0fbaa5b0666d3" 
所 以 ,加 密 后 的 密 文 是 : 
“e5b56lfd0aale5f0 9al0fbaa5bb0666d3" 


2.5 J 题 


1. 使 用 DES 算法 对 明文 84040d5158059e25 进行 加 密 , 密 钥 为 19a3b3fd5ee69dca。 

2. 使 用 DES 算法 对 密 文 6b968d81663f71bf 进行 解密 , 密 钥 为 e33479fea9a76ca7 。 

3. 找 出 所 有 二 进 制 系数 的 7 次 本 原 多 项 式 。 

4. 使 用 DES 算法 对 明文 84040d5158059e2584040d5158059e2584040d5158059e25 进行 
加 密 , 密 钥 为 19a3b3fd5ee69dca, 加 密 模式 采用 ECB 模式 。 

5. 使 用 DES 算法 对 明文 84040d5158059e2584040d5158059e2584040d5158059e25 进行 
加 密 , 密 钥 为 19a3b3fd5ee69dca, 加 密 模式 采用 CBC 模式 。 

6. 使 用 10 回合 的 AES 算法 对 明文 10abababababababababababababablO 进行 加 密 , 密 
钥 是 1111111111111111111111111111111, 
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7. 使 用 10 回合 的 AES 算法 对 密 文 62abdcd5431a2d2f1002ac23ca59902f 进行 解密 , 密 
钥 是 2222222222222222222222222222222。 

8. 使 用 10 回合 的 AES 算法 对 明文 10abababababababababababababab10 进行 加 密 , 密 
钥 是 1111111111111111111111111111111, 加 密 模式 采用 ECB 模式 。 

9. 使 用 10 回合 的 AES 算法 对 明文 10abababababababababababababab10 进行 加 密 , 密 
钥 是 1111111111111111111111111111111, 加 密 模式 采用 CBC 模式 。 


833 基于 因 式 分 解 的 公 钥 密码 系统 


1976 年 ,Diffie 和 Hellman 在 “密码 学 的 新 方向 ”一 文中 ,率先 提出 公 钥 密码 体制 的 新 思 
想 。 在 公 钥 密码 体制 中 ,加 密 和 解密 由 一 对 密 钥 来 完成 ,分 别称 为 公 钥 和 私 钥 , 公 钥 可 以 公 
开 , 私 钥 则 需 保密 。 

公 钥 密码 系统 也 被 称 为 非 对 称 密码 系统 。 

1978 年 , Rivest, Shamir 和 Adleman 在 论文 A Method for Obtaining Digital Signatures 
and Public-Key Cryptosystems 中 首次 提出 一 种 比较 完善 的 公 钥 密码 体制 ,后 来 被 称 为 
RSA 公 钥 密码 体制 。 

RSA 公 钥 密码 体制 的 安全 性 依赖 于 大 数 的 因 式 分 解难 题 。 


3.1 欧 拉 函数 与 循环 群 


在 介绍 RSA 公 钥 密码 体制 前 , 先 来 介绍 相关 的 数学 基础 知识 。 
欧 拉 函 数 : 自 变量 为 正 整 数 的 函数 g(x) 称 为 欧 拉 函 数 ,gp(n) 表 示 小 于 nn 上 且 与 n HR 
的 正 整数 的 个 数 。 
显然 , 当 为 素数 时 ,p(n) —n— 1. 
下 面 的 定理 有 助 于 求解 欧 拉 函数 的 值 。 
定理 3.1 # ged(a 0) — 1. il] glab) — gCa) g(OD) 。 
WEBB: 任意 (OL ab) 5 ROSE Cka ,ks) 一 一 对 应 : 
[+ 二 ki(mod a) 


jm = k,(mod b) 
因为 <0 闪 <1x <apb 一 1] >m 一 共 是 ab 个 数 ,(ki ,ks) 也 一 共有 ab 种 组 合 , 且 都 各 不 
相同 。 
对 于 0 过 x+<ab HAER x.x 与 ab 互 素 等 价 于 x 与 a Wo 都 互 素 ,用 反 证 法 易 证 。 
m x tja 和 6 都 互 素 又 等 价 于 ki 与 a 互 素 且 k;s 与 6 互 素 。 
因此 ,与 ab 互 素 的 数 z 的 个 数 等 于 数 对 { (ki HD Lged Gi sa) =1, ged Ge; b) — 1) ff 
数 , 即 : 
glab) = gla) gb) 
命题 得 证 。 
定理 3.2 如果 n— pr pr e pw ,其 中 pi 为 素数 ,0<i<m, 那 么 : 


gD »(1 i) pe pa 


证 明 : 首先 证 明 goo r(i- 1). 
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任意 x(0 三 + 二 n) 要 么 是 p 的 倍数 ,要 么 与 p* 互 素 。 其 中 , 户 的 倍数 分 别 是 0、p、 
2p、…、(p”! 一 1)p, 一 共有 pt 4 ib p 互 素 的 数 是 p* 一 p” 一 疡 (1 一 方 ) 个 。 


根据 前 面 的 定理 可 得 : 
gn) —gC pn p? = par ) 
=9(ph eC peo epe) 


+ 
= pi pt pir (1 x) i +) 


«(1-52)0-2)-(72) 
命题 得 证 。 


定理 3.3 〈 欧 拉 定 理 ) 已 知 a,n 为 整数 ,如 果 ged(a s) —1. WA : 
a®™ = |] (mod n) 
WEBB: 设 o Sk ABU nares .rs 是 与 n 互 素 的 模 n 的 同 余 类 的 主 余数 。 
由 于 gedla,n)=1,arı ear、 ari 也 应 该 是 互 素 的 ,而 且 对 于 模 两 两 不 同 余 , 因 此 
Cari) Carg)* Car). = arire ri = rirz** r (mod n) 
CGa* — Dri rztr, = 0(nod n) 
HH rure str, 与 n 互 素 ,所 以 at 二 1(mod n) ,命题 得 证 。 
例 3.1 设 n=16,4a==9, 满 足 ged(a 2) —1. 5 n 互 素 的 数 分 别 为 1.3、5、7、9、11、13、 
15, 所 以 gG0 —8. FÆ: 
q*? = 95 = 43 046 721 = 1(mod 16) 
定理 3.4. ( 费 马 (Fermat) 定 理 ) 设 a 为 整数 ,n 是 素数 ,如 果 gedan) — 1. WA: 
a"! = ](mod n) 
WEBB: 因为 n 是 素数 ,所 以 欧 拉 函数 G0 一 2 一 1, 再 根据 欧 拉 定理 即 可 证 明 。 
例 3.2 已 知 n=7, 那 么 下 列 等 式 成 立 : 
25 = 64 = 1(mod 7) 
3* = 729 = 1(mod 7) 
4° = 4096 = 1(mod 7) 
55 — 15625 — 1(mod 7) 
65 — 46 656 — 1(mod 7) 
群 半 群 , 含 么 半 群 ,交换 群 : G 为 非 空 集合 ,如 果 在 G 上 定义 的 二 元 运算 “* "满足 ， 
D (封闭 性 ) 对 于 任意 a,bEG,a x*bEG; 
(2) (结合 律 ) 对 于 任意 a,b,cEG, 有 (ax6b)*c=ax(bxc); 
(3)( 么 元 ) 存 在 么 元 e 使 得 对 于 任意 a € G.e * a—a * e—a; 
(4)( 道 元 ) 对 于 任意 a€EG 存在 着 元 c ' ,使 得 a ' *a—a*a '—ei 
则 称 (G, x ) 是 群 (Group), 有 时 简称 G 是 群 ; 如 果 仅 满足 (1) 和 (2) 则 称 G 是 一 个 半 群 
(Semigroup); 如 果 仅 满足 (1)、(2) 和 (3) 则 称 G 是 一 个 含 么 半 群 (Monoid) 。 
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G) 如 果 群 (G, « ) 还 满足 交换 律 : XE T EXE a 0€ Gf as b—b*a; 
则 称 G 为 交换 群 或 阿 贝尔 群 (Abel Group) 。 

例 3.3 2Z 是 整数 集合 ,十 和 =* 分别 是 整数 的 加 法 和 乘法 运算 ,(Z, 十 ) 是 群 , 且 (Z,*) 
不 是 群 ,这 是 因为 除 1 和 一 1 外 的 其 他 元 素 都 没有 逆 元 。 

例 3.4 设 G={1, 一 1),* 是 数 的 乘法 , 则 (G,* ) 是 群 。 

Klein 四 元 群 : 设 集合 KK 二 {e,a,b,c),K 中 的 二 元 运算 "x* ”由 表 3. 1 中 的 Klein 乘法 表 
给 出 。 


表 3.1 Klein 乘法 表 


* e a b c 
e e a b c 
a a e c b 
b b c e a 
c € b a e 


WCK, * ) 是 群 。 

首先 ,不 难 验 证 (K, * ) 满 足 结合 律 , 么 元 是 e, 每 个 元 素 的 逆 元 是 它 本 身 , 所 以 (KK,* ) 
是 群 ,而 且 还 是 交换 群 。 

例如 ,( 么 群 )({0), 十 ) 是 群 。 由 于 只 包含 么 元 ,所 以 该 群 又 称 么 群 。 

除了 ({0), 十 ) 是 么 群 外 ,({1}, x ) 也 是 么 群 。 


关于 和 群 的 么 元 和 逆 元 有 以 下 结论 : 
(1) 么 元 是 唯一 的 : 设 G 有 两 个 么 元 分 别 为 e: RI es W: 
el — ei * ej — es 
(2) 逆 元 是 唯一 的 : 设 G 中 元 素 a AAE ar M az! DU 
aj|—aj*e-ajx*(axaj!) —(aj*a)*a;?! =exas! = ap’ 


(3) al * a; ff) oC az! x a1!。 
(4) aj * az * n an 的 道 元 是 as as2i…az ai o 
ERE ARE BRM: CG. * ) 是 群 ,G 的 元 素 个 数 是 无 限时 ,G 称 为 无 限 群 ; G 的 
元 素 个 数 是 有 限时 ,G 称 为 有 限 群 ; G 的 元 素 个 数 称 为 群 G 的 阶 。 
元 素 的 阶 : 满足 a" — e 的 最 小 正 整 数 , 称 为 元 素 a 的 阶 , 记 作 ola), WR a" =e KR 
成 立 , 则 称 a 的 阶 为 无 穷 大 。 
定理 3.5 设 G 是 群 ,a€EG, 则 a”"*==1So(a)|m。 
WEBB: 如 果 a"—l.dEo()0-—nzm.m-—knor.Ozir-n.T Hé: 
a" =a — a"a' =a =1 
但 是 a 的 阶 是 n EAS n EPA r—0.m—Rn. AE ola) | ms 
反之 ,如 果 oCa) | m. M) m—kn.-F 
a* =a" umano 
命题 得 证 。 
THE. 设 S 是 群 G 的 一 个 非 空子 集 , 如 果 S 对 G 的 运算 也 构成 群 , 则 称 S 是 G 的 子 群 
(Subgroup) , 记 作 SG。 
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循环 子 群 、 生 成 元 : WEG 是 群 ,a€G, 令 H= (a| kE Z), H 对 于 二 元 运算 同时 满足 : 
CD 封闭 性 : 对 于 任意 的 ah at EGah * a% =at EG; 
(2) 结合 律 : 对 于 任意 的 ah at at € G.Ca^ x a8) * a5 —ah x (at * a5), 
(3) 么 元 : 么 元 是 G 的 么 元 e; 
(4) 道 元 : 对 于 任意 的 EG, 道 元 为 4“E€Gya* x a “二 a “x*a* 二 e。 
因此 互 是 G 的 子 群 , 称 为 循环 子 群 (Cyclic Subgroup), 记 作 <a>,a 是 该 子 群 的 生成 元 。 
特别 地 , 当 G=<a> 时 , 称 G 是 循环 群 ,下 面 给 出 循环 群 的 完整 定义 。 
循环 群 : 一 个 群 (C, x ) 称 为 循环 群 ,如 果 存 在 一 个 元 素 a€ G, 使 得 : 
G= {a"| n€ Z} 
$3.5. (2, 十 ) 是 由 1 生成 的 循环 群 ,因为 任何 整数 都 可 以 写成 若干 个 1 相 加 的 形式 。 
实际 上 ,循环 群 (Z, 十 ) 的 生成 元 只 能 是 1 和 一 1, 因 为 设 生成 元 为 a, 由 于 1€2, 必 存在 
上 使 得 ka = 二 1, 于 是 a== 土 1。 
例 3.6 WO S A 
4 p=6, Zs ={00] L1] C5] 2 ARRE Z。 的 么 元 是 [0], 元 素 [1] 是 生成 元 ,元 
素 [1] 的 阶 是 6 ,元 素 [2] 的 阶 是 3, 元 素 [3] 的 阶 是 2。 
例 3.7 WÈ pj AO; ) 是 循环 群 ,其 中 2Z* = NOn 
K 3.2 给 出 了 当 生 成 元 为 2,p 二 11 时 2^ mod 11 的 计算 结果 。 可 以 看 到 2+ mod 11 
5j 2^ mod 11 值 相同 ,出 现 循环 。 
表 3.2 生成 元 为 2,p==11 时 的 循环 群 


b 1 2 3 4 5 6 7 8 9 10 11 


2^ mod 11 2 4 8 5 10 9 7 3 6 1 2 


关于 循环 群 (2Z, ,十 ) 的 生成 元 还 有 以 下 性 质 。 
定理 3.6 (2,, 十 ) 的 生成 元 只 能 是 Laj, ,其 中 ged(a 20 —1. 
WEBB: Hlal, 是 生成 元 ,因为 [aj, VA% B: 
k[a], =æ} 
则 存在 1 使 得 : 
k [a], +tn=1 
说 明 gcd(Ca,z) 王 1 ,证 毕 。 


3.2 RSA 原理 


目前 RSA 已 经 发 展 成 应 用 最 广泛 的 公 钥 密码 算法 之 一 。RFC 小 组 在 RFC2313 中 对 
RSA1. 5 版 进行 了 详尽 的 描述 之 后 ,又 在 RFC3447 中 将 RSA 发 展 到 了 2.1 版 。 

除 RFC3447 外 ,RSA 算法 的 应 用 标准 或 草案 还 包括 以 下 内 容 。 

(D RFC2537; RSA/MD5 KEYs and SIGs in the Domain Name System (DNS). 

(2) RFC2792, DSA and RSA Key and Signature Encoding for the KeyNote Trust 
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Management System 。 
(3) RFC3110; RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS) 。 
RSA 公 钥 密码 系统 是 建立 在 欧 拉 定 理 和 大 数 因 式 分 解难 题 的 基础 上 的 。 下 面 是 RSA 
公 钥 密码 系统 的 具体 描述 。 
RSA 公 钥 密码 系统 : 设 n— pq. p 和 g 是 素数 。 
明文 空间 和 密 文 空间 : 
P—C-—Z, 
ug. 
K = (Or p.q.a«b) :ab = 1(nod g(n))} 
其 中 ,n.6 是 公 钥 ; p.q.a 是 私 钥 。 
RSA 加 密 算法 : 
ek Cx) = x^ mod n 
相应 的 解密 算法 ， 
dkCy) = y* mod n 
由 于 n= pq Br: 
eG) — (p—D(q—- 10D 
可 对 解密 算法 进行 简单 地 验证 : 
y modn 
=(x)" mod n 
=x" (mod n) 
mx" )'x (mod n) 
—r(mod n) 
以 上 的 验证 说 明 通过 解密 可 以 还 原 出 明文 。 
例 3.8 在 RSA 公 钥 密码 系统 中 ,已 知 p—499,4—929 W): 
n — 499 X 929 — 463 571 
gn) = (499 — 1) (929 — 1) = 462 144 
取 : 
a = 255157, 0 一 9949 
对 明文 zx 一 200 412 实施 RSA 加 密 算法 : 
y = 200 412? mod 463 571 = 418 883 
实施 RSA 解密 算法 : 
x = 418 88325 55 mod 463 571 = 200 412 
下 面 对 RSA 的 安全 性 进行 分 析 。 分 析 之 前 ,首先 明确 NP 问题 的 概念 。 
一 个 问题 的 复杂 性 建立 在 问题 求解 算法 的 复杂 性 基础 之 上 ,通常 可 以 将 问题 的 求解 算 
法 简单 分 为 以 下 两 类 : 
(1) 确定 性 算法 。 确 定性 算法 的 每 一 步 操作 ,其 结果 是 确定 的 ,算法 所 用 的 时 间 是 这 些 
确定 步骤 的 时 间 总 和 。 
(2) 非 确 定性 算法 。 非 确定 性 算法 的 某 些 操 作 结 果 是 不 确定 的 ,这 样 算法 所 用 的 时 间 
也 是 不 确定 的 。 其 中 ,导致 成 功 的 步骤 所 需 的 最 少时 间 就 是 非 确 定性 算法 的 计算 时 间 。 
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用 确定 性 算法 可 以 在 多 项 式 时 间 内 求解 的 问题 称 为 确定 性 多 项 式 时 间 可 解 类 ,或 简称 
P 问题。 用 非 确定 性 算法 可 以 在 多 项 式 时 间 内 求解 的 问题 称 为 非 确定 性 多 项 式 时 间 可 解 
类 ,或 简称 NP 完全 问题 或 NP 问题 。 

显然 ,PSENP, 也 就 是 说 NP 中 的 许多 问题 要 比 P 中 的 问题 更 难 , 但 是 目前 依然 没有 人 
能 够 证 明 : PÆNP. 

对 于 NP 问题 ,不 存在 任何 已 知 的 确定 性 算法 在 多 项 式 时 间 内 求解 该 问题 ,也 就 是 说 ， 
NP 被 认为 是 计算 上 足够 难 的 问题 ,于 是 NP 问题 常 在 密码 学 中 出 现 ,用 以 构造 公 钥 密码 
体制 。 

n= pq 的 大 数 因 式 分 解 问题 就 被 广大 学 者 认为 是 一 个 NP 问题 。 

在 RSA 公 钥 密码 体制 中 ,攻击 者 希望 通过 公 钥 n 得 到 私 钥 p 和 9g, 但 这 是 一 个 NP 问 
题 。 既 然 NP 问题 难以 求解 ,那么 有 没有 避 开 大 数 因 式 分解 NP 问题 而 破解 RSA 公 钥 密码 
系统 的 可 能 呢 ? 

由 于 nb 是 公 钥 , 私 钥 4 和 公 钥 w 有 以 下 联系 : 

ab = 1(mod p(n)) 

所 以 ,如 果 能 得 到 p(n) 将 是 避 开 大 数 因 式 分 解 问题 的 最 佳 办 法 。 但 是 ,下 面 的 定理 将 说 明 
R pC) 与 大 数 因 式 分 解 等 价 。 

定理 3.7 大 数 n= pa 的 因 式 分 解 等 价 于 求 on). 

证 明 : n= pg WMA p Ma 已 求 出 ,那么 ; 

eO) = (p—1)(g—1) 
反 过 来 ,如 果 已 知 pn). M 
ge) (p—D(q—D-—bpq—p—qctl-—n—(pctq-cl 


ptq-—n-—gG0-c1 


b—4q-— (GFR —Apq = /Cpk a) —4n 
联合 以 上 两 个 式 子 ,可 得 : 

p= (ngn) 十 1 十 /O 9 —4n)/2 

q— (n—9G) t1 /Cp3- qY! — 4n )/2 


命题 得 证 。 
从 上 面 的 定理 可 以 看 到 求 p(n) 和 大 数 因 式 分 解 是 等 价 的 ,也 就 是 说 , 求 (2z) 同 大 数 因 
式 分解 同 样 困难 。 
虽然 不 可 能 通过 求 p(n) 来 破解 因 式 分 解 问题 ,但 是 避免 大 数 因 式 分 解 问题 直接 攻击 
RSA 的 可 能 性 依然 存在 ,下 面 就 是 一 个 例子 。 
例 3.9 在 RSA 公 钥 密 码 系统 中 ,已 知 p= 二 23、g 二 31, 那 么 : 
n = 23 X31 = 713 
(n) = (23 —1)(31— D = 660 
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对 明文 xz 一 25 进行 加 密 : 
y(0) = 25? mod 713 = 36 
在 不 知道 私 钥 a 的 情况 下 ,再 进行 几 遍 加 密 : 
y(D = 36? mod 713 = 676 
y(2) = 676? mod 713 = 625 
y(3) = 625? mod 713 = 583 
y(4) = 583? mod 713 = 656 
y(5) = 656? mod 713 = 614 
y(6) = 614? mod 713 = 501 
y(7) = 501? mod 713 = 397 
y(8) — 397? mod 713 — 532 
y(9) = 532? mod 713 = 25 
y(10) — 25? mod 713 — 36 
于 是 ,通过 若干 次 的 连续 加 密 后 ,明文 被 恢复 出 来 ,RSA 算法 受到 攻击 。 通 常 将 这 种 攻击 方 
式 称 为 循环 攻击 。 
究竟 什么 情况 能 产生 循环 攻击 呢 ? 
反复 进行 RSA 加 密 的 序列 可 表示 成 : 
z^ mod n 


(x)* mod n 


(Cat) =)? mod n 


4: 
CCa^)^--)^ = x mod n 
Bp. 
a" = x mod n (3.1) 
因为 n= pq. 所 以 式 (3.1) 可 分 解 称 同 余 方 程 组 : 
z^ = x mod p 
| (3.2) 
z^ = x mod q 


因为 p.a 为 素数 ,假设 A p rq rA: 


az*? — ] mod p 
1 (3.3) 
x”? = ] modq 


结合 式 (3.1) 和 式 (3.2) 可 得 : 
gb) | (0:—1) 
eq | (60: —1) 
显然 ,这 就 是 产生 循环 攻击 可 能 性 的 条 件 。 
通过 验证 , 例 3.9 正好 满足 此 条 件 : 
(23) — 22, 8(30) 一 8 
29^ = 420 707 233 300 201 


58 计算 机 安全 与 保密 


22 | (420 707 233 300 201 — 1) 
8 | (420 707 233 300 201 — 1) 
循环 攻击 是 一 种 典型 的 仅 知 密 文 攻击 , 除 循环 攻击 之 外 ,对 RSA 公 钥 密码 系统 的 常见 
攻击 方式 还 有 同 模 攻 击 。 
同 模 攻击 : 假设 两 个 RSA 公 钥 密码 系统 共享 同一 个 ”但 参数 0 各 不 相同 ,分 别 为 bi 
和 bs, 攻击 者 已 获得 同一 个 明文 对 应 的 两 个 密 文 y 和 ye ,那么 攻击 者 将 能 够 得 到 明文 x, 计 
算 步 又 如 下 : 
COD 计算 c =b" mod bz; 
(2) 计算 cs=(c6 一 1)/b: mod n; 
(3) 计算 xz 一 党 (yz )'! mod n, 
例 3.10 在 RSA 公 钥 密码 系统 中 ,已 知 p—89.9—137.n—897 137 —12 193, 


a, — 10429, b, — 661 
a; = 4468. b, = 1181 
分 别 对 明文 < 三 2005 进行 加 密 : 
yı = 2005 mod 12 193 = 3429 
y» = 2005!" mod 12 193 = 11 196 


实施 同 模 攻 击 算法 : 
cı = 661^! mod 1181 = 1047 
c; — (1047 X 661 — 1)/1181 mod 12 193 — 586 
x = 3429"* (11 19655)! mod 12 193 = 2005 
同 模 攻击 的 前 提 是 有 相同 的 w 和 相同 的 明文 。 在 实际 应 用 中 ,明文 相同 是 经 常 发 生 的 。 
要 避免 同 模 攻击 ,关键 是 应 在 设计 密 钥 时 避免 不 同 的 通信 中 使 用 相同 的 no 
无 论 是 同 模 攻 击 还 是 循环 攻击 ,对 RSA 算法 并 不 能 构成 真正 的 威胁 ,因为 它们 的 攻击 
都 是 建立 在 参数 选取 不 当 的 基础 之 上 。 


3.3 RSA 实现 的 问题 


RSA 是 一 个 安全 性 和 实用 性 都 很 强 的 公 钥 密码 体制 。 不 过 ,在 算法 具体 实现 过 程 中 ， 
仍 需 要 考虑 以 下 两 个 关键 问题 : 

(1) 如 何 找到 足够 大 的 素数 ? 

(2) 如 何 高 效 地 实现 模 指 数 运算 ? 

下 面 围绕 这 两 个 问题 进行 讨论 。 

要 得 到 一 个 足够 大 的 素数 ,无非 有 两 类 方法 。 一 类 是 通过 数学 理论 构造 出 一 个 大 的 素 
数 , 另 一 类 是 随机 给 定 一 个 足够 大 的 数 ,然后 去 证 明 它 是 素数 。 本 节 主 要 介绍 第 二 类 方法 。 

验证 一 个 数 是 不 是 素数 ,又 称 为 素性 检测 ,素性 检测 可 以 用 威尔逊 (Wilson) 定 理 。 

定理 3.8 (Wilson 定理 ) p 是 素数 今 (p 一 1)! 寺 一 1 mod p. 

WEBB: CLA Co— D) 1— — 1. mod p. p 不 是 素数 ,不 妨 设 p 二 ab,1<a<p,1<b<p， 
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B. 
a|(p—D! 
因为 (p 一 1)! 寺 一 1 mod p, 所 以 : 
pI G= DI 
=a | (p—1)!+1 
>a |1 
产生 矛盾 ,所 以 p 必 为 素数 。 

反 过 来 ,如 果 p 是 素数 , 当 p 取 2、3 时 ,容易 验证 (p 一 1)! 二 一 1 mod p.p iR v.s 当 
>33 时 ,考虑 集合 S 二 {2,3,…,p 一 2)} 中 的 任意 元 素 a; 因 为 (a,p) 二 1, 有 整数 有 M kz 
使 得 : 

kiat+kap= 1 
hia = 1(mod p) 
于 是 ,存在 4b 是 a 的 逆 元 ,1 二 bp 一 1, 使 得 b=k mod p). 

H FRIE bAa: 

如 果 b=a, M] a^—1(mod p) a 要 么 等 于 1, 要 么 等 于 p 一 1, 都 与 4€ 5S 产生 矛盾 ,所 以 
ba, 

Ha € S Ha'za.a zb. Wd : 

a'b’ = 1 (mod p) 
H: 
b'za. bza, bb 
于 是 S 中 的 数 可 以 分 成 (p 一 3)/2 对 ,每 一 对 数 互 逆 , 因 此 : 
2X3X.…X(p—2)=1(mod p) 
(p—1)!= (p—1)=—1(mod p) 
命题 得 证 。 
例 3.11 因为 
221— 1124000727777607680000 — 一 1 mod 23 
根据 Wilson 定理 ,可 得 23 是 素数 。 

Wilson 定理 虽然 能 判定 一 个 整数 是 否 是 素数 ,但 是 这 个 算法 的 运算 量 非常 大 ,并 不 
实用 。 

为 了 寻求 更 高 效 的 素性 检测 方法 ,下 面 先 来 回顾 一 下 费 马 定理 。 

由 Fermat 定理 可 知 , 若 n 为 素数 , 则 对 任意 与 n 互 素 的 整数 5b, 有 : 

p = 1(mod n) 
Fermat 定理 说 明 : 上 式 是 n 为 素数 的 必要 条 件 。 
将 Fermat 定理 变 成 其 道 反 命题 ,可 得 : 如 果 b 和 nn R.H: 
bp zx 1(mod n) 
那么 一 定 不 是 素数 ,而 是 一 个 合 数 。 

反 过 来 ,如 果 成 立 : 

57 = 1(modn) 
那么 能 判定 一定 是 素数 吗 ? 答案 是 不 一 定 。 
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45]. (2,63) —1. H 2° — (2*5 22 — 424 16 mod 63) 可 知 63 是 合 
Xil. (8.63) — 1, H 8* —(8*)? —1 (mod 63) ,但 是 63 却 不 是 素数 。 
进一步 ,可 引入 “ 拟 素数 ”的 概念 。 
拟 素数 : n 是 一 个 奇 合 数 , 若 整数 5 与 n 互 素 ,成 立 

b™ = 1(mod n) 


则 nn 称 为 对 于 基 4 的 拟 素数 。 

例 3.12 整数 63 是 对 于 基 4 二 8 的 拟 素数 。 

按照 统计 规律 , 拟 素 数 有 一 个 重要 性 质 : 

随机 选取 与 互 素 的 整数 5 ,车 如 ! 二 1(mod nn) 成 立 , 则 为 拟 素数 的 概率 三 50% ,为 
素数 的 概率 宇 50%。 

该 性 质 可 以 用 来 构造 素性 检测 算法 ,算法 如 下 : 

给 定 奇 整数 n 三 3 和 检测 轮 数 1, 令 k= 二 1。 

(1) 随机 选取 整数 b. 2b n—2. 

(2) 计算 d=(6,n)。 

(3) 3$ d2 1.90] n 是 合 数 ,输出 “Fail” ,结束 ; 否则 转 (4)。 

OD 计算 r=b"?/ (mod n). 

(5) 38 rz -- 16 mod 20 , 则 nn 是 合 数 ,输出 “Fail” ,结束 ; 否则 ,表明 通过 了 一 轮 素 性 检 
测 , 转 到 (6)。 

(6) & 一 A 十 1。 若 人 有:, 转 到 (1); 否则 表明 n 通过 了 1 轮 检测 ,输出 “Success”, 结 束 。 

显然 ,经 过 上 轮 检测 并 输出 “Success” 的 拟 素数 确定 为 素数 的 概率 是 1 一 0. 5'。 然 而 ,这 
种 概率 素性 检测 算法 的 应 用 很 快 便 受到 卡 密 歇 尔 数 的 挑战 。 

卡 密 吹 尔 (Carmichael) 数 : An 称 为 卡 密 吹 尔 数 , 如 果 对 所 有 与 n 互 素 的 正 整 数 b 都 
满足 ， 

p! = 1(modn) 

例如 ,整数 561=3X11X17 &— p RE CC, 

又 如 ,整数 1105=5X13X17 d d — 4 -F EKKE. 

如 果 卡 密 软 尔 数 是 有 限 的 ,那么 前 面 的 概率 素性 检测 算法 还 是 可 用 的 ,只 需 在 每 次 算法 
运行 前 先 查 询 “ 卡 密 敬 尔 数 表 ” 即 可 。 但 遗憾 的 是 事实 上 关于 卡 密 菊 尔 数 有 以 下 两 条 重要 
结论 : 

(1) 存在 无 穷 多 个 卡 密 欣 尔 数 ; 

(2) 当 n 足 够 大 时 ,区 间 [2,n] 内 至 省 有 nn 个 卡 密 吹 尔 数 。 

虽然 前 面 的 拟 素数 的 性 质 难以 构造 出 可 靠 的 概率 素性 检测 算法 ,但 接 下 来 的 Euler 拟 
素数 却 能 引出 切实 可 行 的 概率 素性 检测 算法 。 

欧 拉 (Euler) 拟 素数 : 已 知 n 是 奇 素数 ,如 果 对 任意 正 整 数 a, 成 立 


(#)= a7? (mod n) 


那么 称 n ERFA a 的 欧 拉 拟 素数 。 
之 所 以 n 被 称 为 欧 拉 拟 素数 ,来 源 于 二 次 剩余 的 欧 拉 准则 。 
二 次 剩余 : UE n 是 奇 素数 , a=0(mod n), ,a+#0(mod 0) ,车 方程 x 二 a(mod n) A fk., 则 
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Fk a 是 模 n 的 平方 剩余 。 
欧 拉 准则 : 设 是 奇 素数 ,a 是 整数 ,那么 a 是 一 个 模 n 的 二 次 剩余 当 且 仅 当 


ae Da = ] (mod n) 
假定 n EDARKAN IFERN o nil f CLegendre f (7 ) s X tn T: 


0 a = 0Cmod n) 
()-41 aiiin 的 平方 剩余 
一 1 4a 不 是 模 n 的 平方 剩余 
下 面 的 定理 显然 成 立 。 
定理 3.9 G n EARE ER: 


(5) = a" (mod n) 


n 
成 立 。 
反 过 来 ,如 果 等 式 成 立 ERMER n EREE? 答案 是 不 一 定 。 因 此 , 称 满 足 等 式 
的 ?是 欧 拉 拟 素数 。 
雅 可 比 符号 : n EERO H n 的 因 式 分 解 可 写成 ， 


n 一 Ile 
设 为 一 个 整数 ， 那么 雅 可 比 (Jacobi) 符 号 定义 为 ， 
G)- HG 
当 是 素数 时 , 雅 可 比 符号 与 勒 让 德 符号 是 一 样 的 。 


为 判定 一 个 数 是 否 是 欧 拉 拟 素数 ,下 面 给 出 雅 可 比 符号 的 计算 方法 。 
雅 可 比 符号 的 计算 方法 可 由 雅 可 比 符号 的 4 个 性 质 确定 : 


(1) dE m —m; (nod n) HA (2)e(), 


n n 


€ (x 


n 


2)-] 1 n=+1(mod 8) 


—] n=+3(mod 8) 


o (=)= (2) (2), 


(4) HE m RERS (0) — 


— (2) m —n-3(mod 4) 


m 


(m) — 其 他 情况 


m 


ano ame). 


f. P339 9975—3X5* X7 X19 
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—-(-DCD'(-DCcnD 
= 一 1 
例 3.14 91 是 基 10 的 欧 拉 拟 素数 ,这 是 因为 : 
10997 =— 1(mod 91) 
(5) 6)G8)- G3 (3) 
(3(5)-- (8)- (5)--: 
(&)- 10917? (mod 91) 
但 是 91 实际 上 是 合 数 。 
此 处 不 加 证 明 地 给 出 类 似 于 拟 素数 的 结论 : 欧 拉 拟 素数 是 素数 的 概率 三 50%。 
利用 这 一 结论 可 以 构造 出 Solovay-Stassen 概率 素性 检测 算法 。 
Solovay-Stassen 概率 素性 检测 算法 : 
给 定 奇 整 数 n 三 3 和 检测 轮 数 上 , 令 A 一 1。 
A) 随机 选取 整数 a. 2<a<n— 2. 
(2) 计算 d=gcdla, n). 
CD 判断 : 若 d 9 1. 9] n EAR h Fail" R: 否则 转 到 (4) 。 
(4) 计算 r=a™™? (mod n). 
C5) 判断 : 若 r7 3-1 mod 20 , 则 是 合 数 ,输出 "Fail” ZR; 否则 转 (6) 。 


(6) 计算 勒 让 德 符号 ;== (7-). 


n 
C) 判断 : 若 rss I n XE GIC i Fail" R; 否则 转 (8) 。 
(8) n 通过 一 轮 素 性 检测 E — k+l. 
(9) Æ kt CD fs Du] nod Ec 轮 检测 ,输出 "Success” ,结束 。 
通过 1 次 Solovay-Stassen 素性 检测 的 整数 ”为 素数 的 概率 ， 
Pin 为 素数 } >1— 0.5 
与 拟 素数 不 同 , 卡 密 菊 尔 数 对 欧 拉 拟 素数 不 构成 任何 威胁 ,Solovay-Stassen 概率 素性 
检测 算法 具有 较 强 的 实用 性 。 
强 拟 素数 : 设 ”为 正 奇 合 数 , 且 一 1 一 2d(d 为 奇数 ),a 与 n 互 素 ,如 果 有 : 


a^ = 1(mod n) 


($)-»($) 


或 存在 rO<r<s) ,使 得 : 
a^^ —— ] (mod n) 
则 称 n HIFA a 的 强 拟 素数 。 
强 拟 素数 也 与 欧 拉 定 理 有 关 , 具 体 原理 如 下 : 
设 n 是 奇 整数 , 目 n 一 1==254d , 则 有 : 
a" —1= a”! —] = (a** 一 1 
= (aD 十 1)((aa)2 — 1) = (a” 
一 (as * - D(? 十 1)(a ^ —1) 


-1 


114—105 
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= (a* * - DG 1 1) G4 3-1) (a 一 1) 
因此 , 若 有 : 
a"™ = 1(mod n), Bf a"™ — 1 = 0(mod n) 
即 ; 
Ca? 4 -- 1) Ca 74 -- 1)*- (a? H1) (a* — 1) = 0(modn) 
于 是 下 列 等 式 中 至 少 有 一 个 成 立 : 
aa 一 1Cmod7) 
a^ —— ](Gnod n) 
a” —— |] (mod n) 
a*4 —— | (mod n) 
a* 4 —— ](mod n) 
4| 3.15 HA n—2047 —23: 89 是 对 于 基 a — 2 的 强 拟 素数 。 
这 是 因为 : 
n— 1 = 2047 — 1 = 2046 = 2 x 1023 
2123 — (211)9* = 20489 = 1(mod 2047) 
而 实际 上 ,2047 并 不 是 素数 ,因为 2047=23X89, 2047 是 一 个 强 拟 素数 。 
此 处 不 加 证 明 地 给 出 关于 强 拟 素数 概率 的 结论 : 
设 n 是 一 个 奇 合 数 , 则 n 是 对 于 基 4 的 强 拟 素数 的 可 能 性 三 25%; 于 是 可 以 利用 强 拟 
素数 构造 新 的 概率 素性 检测 算法 。 
Miller-Rabin 素性 检测 算法 : 给 定 奇 整数 "3 和 检测 轮 数 &, 令 变量 I— l1. n—1— 
2d ,其 中 a 为 奇数 。 
(1) 随机 选取 整数 b. 2a n— 2. 
(2) H k=(a, n). 
CD 判断 : 若 R1. E CI20 s 否则 转 到 (4)。 
(4) 4 j—0.iF $E r—a^ (mod n). 
C50 判断 : 车 7 三 士 1(mod n) , 转 到 (10); 否则 , 转 到 (6) 。 
(6) j 一 /十 1。 
CO 若 j<s, 转 到 (8); 否则 , 转 到 (12) 。 
(8) 计算 r— r^ (mod n). 
C9) 判断 : 若 一 一 1Cmod n) , 转 到 (10); 否则 转 到 (6) 。 
(10) (2 通过 一 轮 素性 检测 ),z 一 上 十 1。 
(OD 车 i 过 k, 转 到 (1) ,和 否则) 通过 & 轮 检测 ,输出 “Success”, 转 到 (13) 。 
AD) nn 是 合 数 (n 未 通过 本 轮 检 测 ) ,输出 “Fail”, 转 到 (13) 。 
(13) 结束 。 
通过 上 次 Miller-Rabin 素性 检测 的 整数 ”为 素数 的 概率 : 
Pin 为 素数 } 1—0.25' 
由 此 可 见 , 与 Solovay-Stassen 素性 检测 算法 相 比 ,Miller-Rabin 素性 检测 算法 的 检测 效 
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率 更 高 一 些 。 
$13.16 试 判 断 162 817 是 否 是 素数 。 
f: d n=162 817 f. 
n— 1 = 162 817 — 1 = 162 816 = 2” x 159 
选 基 a—2.:—2, $ 1 轮 计算 : 
j : ro = 25? = 121 518 Æ+ 1(mod 162 817) 
¿ri =r = 2 — 121 518° = 99 326 1(mod 162 817) 
sra = ri = 285 — 99 326? = 83 795 1Cmod 162 817) 
sre = r} = 27" — 83 795? = 11 890 1Cmod 162 817) 
zr, = r} = 2 = 11890! = 135 524 1(mod 162 817) 
ire =r 299 — 135 524* — 20 074 1(mod 162 817) 
:re = r} = 29!*5 — 20 074* = 156 218 #— 1(mod 162 817) 
: rı = rå = 22 — 156 218? = 74 662 z— 1(mod 162 817) 
:re = r} = 29"* — 74662? = 48 615 1(mod 162 817) 
j= 9: r = ri = 29** — 48615* = 129 470 1(mod 162 817) 
第 1 轮 素性 检测 未 通过 。 
第 2 轮 计算 ， 
J 


War ay Ma. Ra. MES Sr Ses Sh 
oo -3 O Oi 4 Q0 ot -2 oO 
四 


:ro = 3? 一 14319 取 士 1mod 162 817) 

: r =r} = 39 = 14319* = 47 158 Æ— 1(mod 162 817) 

: ra = r} = 35 = 47 158? = 122 378 Æ— 1(mod 162 817) 

:rs = o— 37? = 122 378? = 141 590 #— 1 (mod 162 817) 

:r= = 35" — 141 590? = 70 890 z— 1 (mod 162 817) 

:rs = r = 399 = 70 890? = 45 395 — 1 (mod 162 817) 

z re = ri = 318 — 45 395? = 94 073 #— 1(mod 162 817) 

: rı = rå = 3%? = 94 073? = 136 928 #— 1 (mod 162 817) 

: re = rd = 307% — 136 928? = 85 549 #— 1(mod 162 817) 
j =9: r = ri = 3 — 85 549? = 7251 z— 1 (mod 162 817) 

第 2 轮 素性 检测 也 未 通过 。 

于 是 ,162 817 是 素数 的 概率 是 : 

1 一 0.252 = 0.9375 


[LN 
o -3 0 Oc Q0 t -— o 


前 面 给 出 了 概率 素性 检测 的 几 种 算法 ,尤其 是 Miller-Rabin 素性 检测 算法 能 够 提供 非 
常 有 效 的 鉴别 素数 的 手段 。 但 是 ,寻找 一 个 大 素数 和 素性 检测 并 不 是 完全 等 同 的 ,它们 之 间 
相差 一 个 素数 存在 性 问题 。 是 否 会 出 现 这 种 可 能 性 : 尽管 进行 了 大 批量 的 素数 检测 ,但 始 


终 找 不 出 一 个 理想 的 素数 ? 
好 在 素数 定理 能 够 给 出 从 1 到 N 的 整数 中 抽 到 素数 的 概率 : 
ICN) ~ N/InN 


于 是 ,可 以 进一步 得 出 : 从 不 大 于 N 的 正 整数 中 随机 选 一 个 正 整数 , 它 是 素数 的 概率 


大 约 是 : 
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(N/InND/N = 1/InN 
例如 , 任 选 一 个 512 位 的 随机 正 整 数 , 它 是 素数 的 概率 大 约 为 : 
1/In2® = 1/177 
即 平均 177 个 512 位 以 内 的 随机 正 整 数 中 将 有 一 个 素数 。 

除 寻 找 大 素数 外 ,RSA 算法 实现 中 还 需 处 理 好 另 一 个 问题 , 即 模 指 数 运算 问题 。 因 为 
无 论 加 密 还 是 解密 都 需要 用 到 模 指 数 运算 , 模 指 数 运算 的 效率 是 影响 RSA 算法 效率 的 重要 
因素 。 

常用 的 模 指 数 算法 有 二 进 制 法 、 二进制 NAF 算法 .滑动 窗口 算法 等 。 下 面 重 点 介绍 二 
进 制 法 。 

二 进 制 法 是 指 将 指数 二 进 制 化 , 即 指数 写成 二 进 制 的 形式 

e= (e em ** & e) ei €E {0,1} 
那么 模 指 数 运算 : 
£g mod n = ((Cg*i ? X gm)? X *« X gh )? X g^ 

根据 以 上 原理 ,可 形成 以 下 具体 算法 (Right to Left Binary Method) : 

s-1 

for i-1to0do( 

s-sXsmodn 

if(e, 71) thens-sXgmodn 

uos 

4 w(e) 是 二 进 制 表 示 中 1 的 个 数 ,以 上 算法 要 做 /一 1 次 平方 和 w(e) 一 1 次 乘法 运算 。 
WMR e EEKE 0 二 e 二 n 上 随机 选取 , 则 需要 大 约 lg(n) 次 平方 和 0.5X (lg(n) 十 1) 次 乘法 ， 
效率 较 高 。 

例 3.17 计算 9726% mod 11 413。 

解 : 3533 转化 为 二 进 制 是 110111001101, 


运算 过 程 如 下 : 

i=11: b =1, s—1*X9726 = 9726 
i= 10: b —1, s= 9726? X 9726 = 2659 
i=9; b =0, s= 2659* = 5634 
i=8; b; — 1. s= 5634 X 9726 = 9167 
i— Tib; — 0. s= 9167? X 9726 = 4958 
i— 6i b; — l1. s= 4958? X 9726 = 7783 
i—5;:b5;—0. s— 7783! = 6298 
i= 4: bi —0, s= 6298? = 4629 
i = 3; b; =1, s= 4629? x 9726 = 10 185 
i= 2; b; — 1, s= 10185? X 9726 = 105 
i=1:; b =0, s= 105° = 11025 
i=0: b; =1, s= 11025? X 9726 = 5761 

于 是 得 到 结果 : 


97265** mod 11 413 = 5761 
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3.4 大 数 因 式 分 解 问题 


对 RSA 算法 真正 的 威胁 来 自 于 大 数 因 式 分 解 问题 的 求解 。 目 前 ,已 有 一 些 大 数 因 式 分 
解 问题 的 解决 方案 ,如 p— 1 算法 、Dixon 算法 等 。 
p 一 1 算法 由 Pollard 于 1974 年 提出 。 具 体 流程 如 下 所 述 : 


a=2 
for i=2tob 
a-a'modn 
d= gcd(a- 1,n) 
if(1«d«n) then 
d 是 n 的 素 因 子 
else 


SHE n 的 素 因子 失败 


b — Y 算法 有 两 个 输入 ,一 个 是 要 分 解 的 数 ,一 个 是 边界 值 0。 
假设 是 的 一 个 素数 因子 ,如 果 对 每 一 个 素数 ql(p 一 1), 有 gb, 则 必 有 : 


(p—1) |b! (3.4) 
在 循环 结束 时 有 s 

a — 2" mod n 
于 是 : 

a = 2" mod p (3.5) 

根据 欧 拉 定理 可 得 : 

2 — 1 mod p (3. 6) 
由 式 (3.3) RG. OMR. 50 8. 

a = ] mod p 


所 以 : 
p |d = gcd(a—1,n) 
fj 3.18 i n—29 389 613 454 601, 取 0 一 600, 运 用 p—1 算法 进行 因 式 分 解 。 
在 循环 结束 时 ,得 到 : 
a = 22 058 222 139 834 


于 是 : 
d = gcd(22 058 222 139 833, 29 389 613 454 601) = 6 210 433 
进一步 检测 ; 
29 389 613 454 601 — 6 210 433 X 4 732 297 
说 明 因 式 分 解 成 功 。 


同样 的 例子 ,如 果 4 选取 不 当 , 如 4 一 200, 在 循环 结束 时 ,得 到 : 
a — 8 688 934 735 738 
于 是 : 
d — gcd(8 688 934 735 737. 29 389 613 454 601) — 1 
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说 明 在 这 种 情况 下 因 式 分 解 失 败 。 
Dixon 算法 建立 在 一 个 简单 的 事实 基础 上 : 
如 果 r#+ylmod n) H. 2? — y? (mod n), 那 么 gcd(x 一 y,n) 是 nn 的 非 平凡 因子 (Non- 
Trivial Factor), 
该 算法 首先 建立 一 个 小 素数 集合 B, 然 后 找 出 一 些 整 数 a (81$ 2^ mod 的 所 有 素 因 子 
都 在 因子 集合 B 之 中 。 接 下 来 ,将 某 些 x 相 乘 使 得 每 一 个 素数 出 现 偶数 次 ,于 是 就 形成 了 
同 余 方程 
x? = y’ (mod n) 
B) 3.19 ik n—52 487 693,4 B 王 {3,5,13} ,以 下 等 式 成 立 : 
14 071 835? = 3 X 7 (mod 52 487 693) 
35 191 901? — 3 X 13 (mod 52 487 693) 
19 785 682? — 7 X 13 (mod 52 487 693) 
将 上 面 3 个 式 子 相互 乘 起 来 : 
(14 071 835 X 35 191 901 X 19 785 682)? = (3 X 7 X 13)* (mod 52 487 693) 
即 : 
43 632 496? = 2732(mod 52 487 693) 
于 是 : 
gcd(43 632 496 — 27 315 770 708 441) = 4007 
得 到 了 的 一 个 因子 是 4007 。 
因为 4007 是 一 个 素数 ,所 以 另 一 个 因子 是 ， 
52 487 693/4007 — 13 099 
写成 因 式 分 解 的 形式 是 : 
52 487 693 — 4007 x 13 099 


3.5 Rabin 公 钥 密码 系统 


RSA 的 安全 性 建立 在 大 数 因 式 分 解 NP 问题 基础 之 上 ,那么 是 否 可 以 在 大 数 因 式 分 解 
NP 问题 上 构造 出 不 同 于 RSA 的 公 钥 密码 系统 呢 ? 答案 是 肯定 的 ,Rabin 公 钥 密码 系统 就 
是 一 例 。 
在 介绍 Rabin 公 钥 密码 系统 之 前 , 先 介绍 同 余 方程 组 。 
《和 孙子 算 经 》 中 曾经 提出 一 个 问题 :“ 今 有 物 不 知 其 数 , 三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 
七 数 之 剩 二 , 问 物 几何 ?” 
这 是 一 个 典型 的 同 余 方程 组 求解 的 问题 ,描述 如 下 : 
x = a, mod m; 
x — a; mod m; 
(3.7) 
x — a, mod m, 


同 余 方程 组 问题 通常 由 中 国 剩余 定理 求解 ,中 国 剩余 定理 也 称 孙子 定理 。 
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定理 3. 10 〈 中 国 剩余 定理 ) B mmm, 是 n(n 宇 2) 个 两 两 互 素 的 大 于 1 的 整 
数 , 令 : 


M = mmm, mM m;M,; E m,M, 


则 同 余 方程 组 的 解 为 : 
x = aD) M, ab Mt ab, M, (mod M) (3.8) 
其 中 ,b;(1 声 i 过 nn) 是 满足 同 余 方 程 
Mir; = 1(mod m;) (3.9) 
的 一 个 特 解 。 


WEBB: 可 以 分 成 以 下 两 步 来 证 明 : 
(1) 证 明 式 (3. 8) 是 同 余 方 程 组 的 解 。 将 式 (3.7) 代 入 同 余 方 程 组 中 ,对 于 任意 第 i 个 
方程 ,等 式 左边 等 于 : 
=abM 十 azbM + 7 abM,mod M) 
其 中 , 除 第 i 项 外 其 余 各 项 都 能 被 mr; 整除 ,而 第 i 项 为 a:biM;, 由 式 (3. 8) 可 得 : 
a;b;M; = a; (mod m;) 
(2) 证 明 同 余 方程 组 的 解 均 在 式 (3.7) 中 。 设 zx' 是 同 余 方程 组 中 的 任意 一 个 解 : 
x’ = a;(mod m;), i-(1,2,.2) 
设 工 是 由 式 (3.7) 和 式 (3. 8) 确 定 的 解 , 则 : 
r—a/ -0(modm). i= (1,2,°,n) 
m; | (x— zx), i= (1,2,.%,n) 
又 因为 mi umo vr m, 两 两 互 素 ,所 以 : 
mimm, | (> x’) 
zx = x(mod M) 
也 就 是 说 ,z 被 包含 于 由 式 (3.7) 和 式 (3.8) 确 定 的 解 中 。 
命题 得 证 。 显 然 , 在 同 余 方程 组 的 最 小 非 负 整数 解 是 二 对 模 M 的 主 余数 。 
此 外 ,中 国 剩余 定理 还 有 另 一 种 表述 :“ 设 mm ams 、 am, 是 n(n 三 2) 个 两 两 互 素 的 大 于 
1 的 整数 , 令 M 三 mm2…m,, 则 对 于 任意 的 j OL jm ,以 下 联 立 同 余 方程 组 有 解 : 
zr; = ] mod m; 
Xj 三 0 mod m;i Æj 
令 z=aizi 十 aaza 十 … 十 aozs* 则 [z]。 是 同 余 方 程 组 的 解 。” 
只 需 证 明 c; — 0M , 就 可 说 明 两 种 表述 的 等 价 性 , 感 兴趣 的 读者 可 将 此 命题 的 证 明 作为 
习题 。 
例 3.20 求解 xz,z 满足 下 列 同 余 方 程 组 : 
x = 5(mod 7) 
x = 3(mod 11) 
x = 10(mod 13) 


a = 5, a: =3, a4 10 
m =7, m =11, m, = 13 


M = mmm; = 1001 
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M; = mm, = 143, M: mima 91. M mmz 77 
可 通过 欧 几 里 德 扩 展 算法 来 求解 b: 
b, = 143! = 5(mod 7) 
b, = 91 = 4(mod 11) 
b, = 71? = 12(mod 13) 
该 同 余 方程 组 最 终 的 解 为 : 
x = 13 907 = 894(mod 1001) 
中 国 剩余 定理 不 仅 可 以 用 来 求解 同 余 方程 组 ,还 可 以 用 来 求解 二 次 同 余 方程 ,其 方法 就 
是 将 二 次 同 余 方程 化 为 同 余 方程 组 来 求解 。 
例 3.21 求解 二 次 同 余 方 程 : x? 十 3x 十 2 三 0(mod 35) 。 
解 : 可 将 二 次 同 余 方程 变 为 同 余 方程 组 : 


x? + 3x 4- 2 = 0( mod 5) 
1 (3. 10) 


x? + 3x 4- 2 = 0C mod 7) 
因为 好 十 3z 十 2 一 (z 十 1)(z 十 2), 所 以 进一步 可 将 二 次 同 余 方程 组 (3. 10) 分 解 为 4 个 
一 阶 同 余 方程 组 : 


io 5) gina 5) 


x = 5(mod 7) x = 6(mod 7) 
x = 4(mod 5) x = 4(mod 5) 
M 7) nee 7) 
根据 中 国 剩余 定理 可 分 别 求 出 4 个 同 余 方程 组 的 解 ， 
x = 33,13,19,34(mod 35) 
Rabin 公 钥 密码 系统 : W n= pq 是 p 和 g 两 个 互 不 相同 的 大 素数 的 乘积 , 且 
p.q = 3CGmod 4) 

明文 空间 和 密 文 空间 : 


密 钥 : 
K = {(n,p,q,B))} 
Hp, 0<KB<n—1. 
加 密 算法 : 
ekCr) = x(x + B) mod n 


7 
dyCy) = ( 三 +y 一 号 ) mod n 


在 Rabin 公 钥 密码 系统 中 ,加密 算法 非常 简单 ,而 解密 算法 却 要 复杂 得 多 ,而且 解 密 算 
法 中 出 现 了 一 个 有 限 域内 求 “平方 根 ” 的 问题 。 

下 面 将 讨论 如 何 求解 模 的 “平方 根 ”。 

因为 wn 二 pq, 所 以 可 以 将 模 的 平方根" 问题 : 


a? = c(mod n) 


解密 算法 : 
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转化 为 一 个 等 价 的 同 余 方程 组 : 
= c(mod p) 


z? = c(mod q) 
针对 a^ =c (mod p) ,显然 要 么 无 解 ,要 么 有 两 个 解 。 
事实 上 在 Rabin 公 钥 密码 系统 中 ,zx 三 c(mod p) 应 该 有 两 个 解 : 
x =4 UOTA 
这 是 因为 p(mod 32 —4. rA Cp-- D /4 是 整数 ,于 是 : 
(c cODA )2 
=c P0 (mod p) 
三 co /e(mod p) 
三 c(mod p) 
接 下 来 可 将 式 (3.11) 转 化 为 4 个 同 余 方 程 组 ,分 别 是 : 
x = cH (mod p) x =— ct (mod p) 
| x = t (mod q) | x =+ cU (mod q) 
x =+ c7! (mod p) x =— ("^ (mod p) 
| x =— c (mod q) | 
以 上 4 个 方程 组 可 用 中 国 剩余 定理 来 求解 。 
例 3.22 Rabin 密码 系统 参数 : p—31.q— 71.0—23.n—2201, 
对 明文 + 二 2003 实施 Rabin 加 密 算法 : 
y = 2003? + 23 X 2003 mod 2201 = 1635 
实施 Rabin 解密 算法 : 
x= /5564-1635 — 1112 mod 2201 = /2191 — 1112 mod 2201 
接 下 来 求解 /2191 mod 2201 ,将 求解 /2191 mod 2201 转化 为 求解 方程 组 : 
| — /2191 mod 31 


t= /2191 mod 71 


ag om— c™ (mod q) 


进一步 转化 为 : 
{ =+ 16 mod 31 


t =+9 mod 71 


t=16 mod 31 
nd 的 求解 为 例 : 


t=9 mod 71 
n 一 16 m =31 y =71” mod 31=7 amy = 1349 


a — 9 m =71 y, = 31" mod 71 =55 aimi y; = 2139 
t = (1349 + 2139) mod 2201 = 1287 
xı = (1287 — 1112) mod 2201 = 175 
同 理 , 解 另外 3 个 方程 组 得 : 
xı = (790 — 1112) mod 2201 = 1879 


(3.11) 
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x, = (1411 — 1112) mod 2201 = 299 
x, = (914 — 1112) mod 2201 = 2003 
其 中 ,xs 正 是 明文 。 


1. Bb p 和 g 是 素数 , 求 opg"). 
2. 设 G 是 群 , 试 证 : 对 于 任意 a,bEG,0(ab) 二 o(ba)。 
3. 试 证 明 ; FREG, * ) 是 群 的 充 要 条 件 是 : 对 任何 a,5EG, 方 程 组 : 


eke 
ya =b 


ssal 


证 明 S 关于 矩阵 的 乘法 构成 一 个 半 群 。 

5.“ 七 数 剩 一 , 八 数 剩 二 , 九 数 剩 三 , 问 本 数 "。( 杨 辉 1275 年 ) 

6. 试 找 出 乘 群 (22 ,x ) 的 全 部 子 群 。 

7. 试 找 出 加 群 (Zs ,十 ) 的 全 部 子 群 。 

8. 设 bp 为 大 于 2 的 素数 ,证 明 : 

[( 握 2)!] = (— Df (mod p) 

9. i G 为 非 空 集合 “* ”为 G 中 的 双向 运算 。 如 果 :  * 有 结合 律 ; OG 中 存在 左 么 
36 e' MAHER a EG. AA e'a =a; @G 中 任意 元 素 a HALa LH a'a =e, W] G ER 

10. 已 知 p 二 1999, 试 判断 — 202 是 否 为 二 次 剩余 。 

11. 计算 勒 让 德 符 号 L(1998,2011)。 

12. 求解 同 余 方 程 组 : 


在 G 中 均 有 解 。 


4. 令 : 


a.b.c.d € z] 


x = 3(mod 5) 
x = 6(mod 11) 
x = 8(mod 13) 


13. 求解 同 余 方程 
13x — 4 mod 99 
14. 求解 二 次 同 余 方 程 : 
x? +4x +3 = 0 mod 77 

15. 使 用 RSA 公 钥 密码 算法 对 信息 m=2004 进行 加 密 ,RSA 公 钥 体制 的 参数 是 : p= 
151,9—191.n—28 841,a=22 213,b=1777。 

16. 使 用 RSA 公 钥 密码 算法 对 密 文 0— 4278 进行 解密 ,RSA 公 钥 体制 的 参数 是 : p= 
113,g=233,n=26 329,a—24 565,5 —1117, 
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17. 分 两 次 使 用 RSA 公 钥 密码 算法 对 同一 个 明文 进行 加 密 , 两 个 RSA 公 钥 体制 的 公 
钥 分 别 是 二 nz 二 6077,b1 =277 ,bs 二 557, 密 文 分 别 是 c = 2595. co — 3244 , YE IS AY f 6077 
的 前 提 下 , 求 取 明 文 。 

18. 使 用 RSA 公 钥 密码 算法 对 密 文 c= 37 838 进行 解密 , RSA 公 钥 体制 的 参数 是 
5b 二 37,n 二 50 419, 试 用 循环 攻击 法 求 取 明 文 。 

19. n— pq. p Mq 都 是 素数 ,试用 Dixon 算法 对 n 进行 因 式 分 解 : 

(1) n=128 081 

(2) n=899 777 

(3) n=658 921 807 

20. n— pq. p M q 都 是 素数 ,试用 Dixon 算法 对 进行 因 式 分 解 : 

(1) n=142 349 

(2) n=2 113 721 

(3) n=62 157 349 

21. 求解 方程 : 


x? = 1268(mod 1541) 
22. 求解 /1000 mod 2077, 
23. 使 用 Rabin 公 钥 密码 算法 对 信息 m — 2004 进行 加 密 ,Rabin 公 钥 体制 的 参数 是 : 
p=83,g=131,n=10 873.5—168, 
24. 使 用 Rabin 公 钥 密码 算法 对 密 文 c — 8008 进行 解密 ,Rabin 公 钥 体制 的 参数 是 : 
p=67,g=151,n= 10 117,5—199, 
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与 RSA 和 Rabin 公 钥 密码 系统 不 同 , 本 章 将 要 介绍 的 公 钥 密码 系统 基于 有 限 域 上 另外 
一 个 NP 问题; 离散 对 数 问题 。 

离散 对 数 问题 又 可 以 分 为 一 般 的 离散 对 数 问题 和 椭圆 曲线 上 的 离散 对 数 问题 。 
ElGamal 公 钥 密码 系统 和 椭圆 曲线 公 钥 密 码 系 统 分 别 基 于 这 两 类 问题 。 


4.1 ElGamal 公 钥 密码 系统 


离散 对 数 问题 (Discrete Logarithm Problem, DLP): 有 限 群 GCZ; ) 上 定义 的 运算 
"* ”生成 元 a€G.H— (a: i770)4& H a J^" EI T RE.B€ H Kp a! 表示， 


a*a****g 


Do 

离散 对 数 问题 的 目标 是 寻找 满足 唯一 的 指数 or H| 一 1, 使 得 B==a*, 也 相当 于 求 
取 对 数 log。8。 

离散 对 数 问题 是 难 解 的 ,目前 还 没有 找到 离散 对 数 问题 的 多 项 式 时 间 算 法 。 当 然 ,即使 
没有 找到 离散 对 数 问题 的 多 项 式 时 间 的 求解 算法 ,离散 对 数 问题 也 是 可 解 的 ,至 少 可 以 用 穷 
举 搜索 的 方法 来 解决 ,求解 离散 对 数 问题 的 几 种 有 效 的 方法 将 在 本 章 后 面 的 部 分 中 介绍 。 

T. ElGamal 于 1985 年 率先 提出 EIGamal 公 钥 密码 系统 ,ElGamal 系统 正 是 基于 离散 
对 数 问题 的 一 种 公 钥 密码 系统 。 

ElGamal 公 钥 密码 系统 : 设 p 是 使 Z; 存在 难 解 离散 对 数 问题 的 素数 ,cE Zr 是 生成 
元 , 则 ， 


CO 密 钥 生成 : 

明文 空间 : P=Z; 

密 文 空间 : C-Z; XZ; 

密 钥 : K={(p,ara,B):B=a (mod p)} 
HEP. pap EAH: a 是 私 钥 。 

(2) 加 密 算法 : 


对 明文 zxEZ; ,那么 密 文 可 以 表示 为 (yi v EZ; XZH: 
ekCr,k) = Cy y») 
yı = a! mod p 
ys = xß* mod p 
其 中 ,是 满足 &E Zo- 的 随机 数 。 
由 于 & 是 随机 选取 的 ,对 应 于 同一 明文 可 能 有 多 个 密 文 。 
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(3) 解密 算法 : 
dk(yisy2) = ys CY) ! mod p 
其 中 ,yi Js € Z; E 
在 Z} 中 ,ElGamal 在 加 密 时 对 明文 zx 用 zB8* 进 行 了 伪装 ,同样 a* 也 传 给 了 解密 算法 。 
然而 ,在 解密 时 用 a ERI Y Cy! — (0 7 — (95 7 ,因此 ,能 够 抵消 掉 y» — xg" mod p 中 的 
伪装 g* ,从 而 得 到 zx。 
例 4.1 在 ElGamal 公 钥 密码 系统 中 ,已 知 p 二 2111, 明 文 空间 是 Zin , 密 文 空间 是 
Zhu X Zhu USER. 
a=2, a -— 666, B= 2*5 mod 2111 = 219 
XT 88 xc x — 168 实施 加 密 ( 选 取 参 数 E5550: 
yi = 2 (mod 2111) = 76 
ys = 168 X 219 (mod 2111) = 61 
实施 解密 ， 
æ= 61 (7699) (mod 2111) = 168 
在 ElGamal 密码 体系 中 ,从 公开 的 a 和 8B 求 保密 的 解密 密 钥 就 是 一 个 离散 对 数 问题 ,只 
要 选取 合适 的 素数 p ,离散 对 数 问 题 是 难 解 的 。 
与 RSA 和 Rabin 公 钥 密码 体制 不 同 ,ElGamal 公 钥 密码 体制 引入 了 一 个 辅助 参数 k 
& 的 存在 增加 了 ElGamal 的 安全 性 ,即使 明文 和 密 钥 都 相同 , 密 文 也 会 随 着 & 的 不 同 取 值 而 
各 不 相同 ,这 种 非 一 一 对 应 的 特性 将 增加 破解 的 难度 。 


4.2 椭圆 曲线 密码 体制 


由 于 原理 简单 且 容易 实现 ,RSA 公 钥 密码 系统 一 度 是 应 用 最 广泛 的 公 钥 密码 系统 。 但 
是 随 着 网 络 和 计算 机 速度 的 提升 ,安全 强度 的 需求 要 求 RSA 算法 的 密 钥 长 度 不 断 增加 。 目 
前 学 者 们 普遍 认为 需要 1024 位 以 上 的 密 钥 才能 保障 数据 的 安全 性 ,NIST 更 是 推荐 使 用 
3072 位 的 RSA 密 钥 。 密 钥 长 度 的 增加 大 大 降低 了 加 解密 的 速度 ,同时 也 显著 增加 了 存储 
所 需 的 空间 和 硬件 实现 的 复杂 性 。1985 年 ,Neal Koblitz f V. S. Miller 基于 EIGamal 公 钥 
密码 系统 提出 了 能 在 低 要 求 的 计算 环境 中 达到 高 强度 加 密 的 新 型 公 钥 密 码 系 统一 一 椭圆 曲 
线 密码 体制 (Elliptical Curve Cryptography .ECC)。 

椭圆 曲线 : 定义 在 域 下 上 的 椭圆 曲线 下 指 的 是 由 韦 尔 斯 特 拉 斯 (Weierstrass) 方 程 

yz aryz + ayz’ x? +arz’ z+ azz? ag 

所 确定 的 平面 曲线 。 

满足 上 述 方程 的 点 (z,y) 称 为 域 下 上 椭圆 曲线 上 的 点 ,除了 上 面 的 点 ,还 有 一 个 特殊 

取 > 一 1, 可 得 椭圆 曲线 的 一 般 方 程 : 

y! c aixy tay — a3 d- aja* d- ax ta 
ARE GF(p) 上 的 椭圆 曲线 : 设 p 是 素数 . 且 p73 EA PRI GFO) E At Es if AX H ips E 
y! = x? dax d b(mod p) (4.1) 
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的 点 (zx,y) 和 一 个 特殊 的 无 穷 远 点 O 构成 , 记 作 已 (ce,0)。 其 中 ,a.OEGF(CP) 且 4a 3-270 + 
OCmod p). 

fi 4.2 求 椭圆 曲线 y = 8r 10(nod 19) 上 的 点 。 

要 得 到 满足 椭圆 曲线 方程 的 解 (x,y) ,可 利用 前 面 章节 中 平方 剩余 的 概念 。 

4 z—3a?* +8r+10(mod 19), 先 逐个 求 出 x 二 0、1、…、18 对 应 的 = 值 , 如 表 4.1 所 示 的 
第 2 列 ; 然后 验证 z 是 否 为 模 19 有 限 域 的 平方 剩余 ,是否 为 平方 剩余 可 采用 勒 让 德 符 号 来 
判定 ; 如 果 是 平方 剩余 ,再 计算 出 模 19 有 限 域 下 x 的 平方 根 。 


表 4.1 获得 有 限 域 中 椭圆 曲线 上 的 点 


T z 是 否 是 平方 剩余 y z z 是 否 是 平方 剩余 y 
0 10 否 10 7 是 11.8 
1 0 0 yi 4 是 17,2 
2 15 m 12 10 否 

3 4 是 17,2 13 12 T 

4 in 是 7,12 14 16 是 4.15 
5 4 是 17,2 15 9 是 16.3 
6 8 f 16 16 是 4.15 
7 10 f 17 5 是 9.10 
8 16 是 4.15 18 1 是 1.18 
9 13 否 


根据 表 4. 1 可 得 到 椭圆 曲线 y= 二 x? 十 8z 十 10(mod 19) 上 的 点 (图 4.1): 
(1,0),(3,2) (3,17) (4,7) (4,12) 
(5.2) (5,17) (8.4) (8,15) , (10,8) 
(10,11), (11,2) (01.17) (14,4) (14,15) 
(15,3), (15,16) (16.4) (16.15) , (17,9) 
(17,10) (18,1) (18.18) 


全 E -一 


入 * -一 
P 


- 
12345267 8 910111213141516 171819 x 
图 4.1 WARR E (8,10) 点 的 分 布 图 
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求 得 了 椭圆 曲线 上 的 点 , 接 下 来 介绍 素数 域 上 椭圆 曲线 的 加 法 运算 。 

素数 域 上 椭圆 曲线 的 加 法 运算 ,从 几何 的 角度 来 理解 更 直观 形象 。 设 已 和 Q 是 椭圆 曲 
线 上 的 两 点 ,连接 P AQ 两 点 的 直线 交 椭圆 曲线 于 R' 点 ,通过 R OE y 轴 的 平行 线 与 椭圆 
曲线 相交 于 R,R 点 就 是 P 和 Q 的 和 , 即 R=P 十 Q, 如 图 4.2 所 示 。 

特殊 情况 下 , 当 P 和 Q 重合 时 ,过 PP 点 作 椭 圆 曲 线 的 切线 ,和 椭圆 曲线 相交 于 R' 。 然 
后 通过 R' 点 作 y 轴 的 平行 线 和 椭圆 曲线 相交 R,R 点 就 是 P 和 尸 的 和 , 即 尽 =P 十 已 ,此 时 
Tk P AP 的 和 运算 为 椭圆 曲线 的 倍 点 运算 ,如 图 4. 3 所 示 。 


图 4.2 椭圆 曲线 加 法 (不 同 点 ) 图 4.3 椭圆 曲线 加 法 (相同 点 ) 


为 便于 计算 ,下面 给 出 椭圆 曲线 上 的 具体 加 法 代数 公式 。 

dt E JE SEX CL. D EPA UI «Pes s yi) Qro «yo Res ,ys) 是 椭圆 曲线 上 的 
ABB R-—P-Q.W 

当 己 和 Q 不 是 同一 点 时 , 即 P 关 Q 时 : 


[s7X-2n-2n 
la 一 一 人 (zs + y) 
其 中 ， agros —m PQ 直线 的 斜率 ) 。 


当 己 和 Q 是 同一 个 点 时 , 即 P=Q 时 : 
[9-7 — 225 


ly; 一 一 人 (zs 十) 
其 中 一 六 一 一 2 ( 即 PQ 直线 的 斜率 ) 。 


iste n 上 两 个 点 关于 工 轴 对 称 , 则 它们 的 加 法 结果 定义 为 无 穷 远 点 
O, 即 : 


d cox 


(zi 一) 十 (rz 一) 一 O 
Ai P 的 加 法 逆 元 也 就 是 点 己 关于 工 轴 的 对 称 点 , 记 为 一 已 ,一 已 的 坐标 是 (zi ,一 )。 
由 此 也 可 以 得 到 一 个 推论 : 如 果 椭 圆 曲 线 上 处 于 同一 条 直线 上 的 3 个 点 ABC A 
它们 的 和 A 十 B 十 C 等 于 无 穷 远 点 , 即 : 
A+B+C=0 
例 4.3 椭圆 曲线 ;y= 二 x 十 8z 十 10,p 二 19, 在 椭圆 曲线 上 分 别 取 3 个 点 PQ 和 T 工 : 
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P = (11,1) Q= (15,16) T= (4,7) 
分 别 计算 M=P+Q,N=Q+T,U=M+T,V=P+N. 


CD 计算 M; 
_ 16—17 
àm 一 15—H mod 19 — 14 
ym — (17 — 14 X 11) mod 19 — 4 
xy = (14! — 11 — 15) mod 19 = 18 
ym = [—18 X (11 — 8) — 17] mod 19 = 18 
HU M 的 坐标 是 (18,18) 。 
(2) 计算 N: 
_ 7 一 16 Z 
àn = g j5 mod 19 6 


zw = (6? — 15 — 4) mod 19 = 17 
yn = [6 X (15 — 17) — 16] mod 19 = 10 
即 N 的 坐标 是 (17,10) 。 


(3) HEU: 
7 一 18 加 
如 二 4 一 18 mod 19 = 13 
xy = (13? — 18 — 4) mod 19 = 14 
yu = [13 X (18 — 14) — 18] mod 19 = 15 
BI U 的 坐标 是 (14,15)。 
(4) dr V; 
áp e 19—1 uod i92 


17—11 
xy = (22— 11 X 17) mod 19 = 14 
w = [2 X (11 X 14) X 17] mod 19 = 15 
即 N 的 坐标 是 (14,15 )。 
计算 得 到 U=V, 即 (P 十 Q) 十 T=P 十 (Q 十 T) ,验证 了 素数 域 中 椭圆 曲线 上 的 点 对 运算 
“十 ”满足 结合 律 。 
例 4.4 椭圆 曲线 下 :> 二 x 十 8z 十 10,p 二 19, 在 椭圆 曲线 上 分 别 取 点 P 了 和 Q: 
P= (3,2), Q= (5,17) 
分 别 计算 4Q 和 6P。 


先 计算 2Q: 
_3x5+8 23 
À 3x7 mod 19 = 3 
x = (3? 一 5 一 5) mod 19 = 18 
y = [3X (5—18)— 17] mod 19 = 1 
2Q 的 坐标 是 (18,1) 。 


然后 计算 4Q=2Q+2Q: 


_3X18: 十 8 


2X1 


mod 19 — 15 
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x = (15? — 18 — 18) mod 19 = 18 
y — [18 X (18 — 18) — 1] mod 19 — 18 
AQ 的 坐标 是 (18,18) , 同 理 , 可 算出 6P— (8.15). 
MYV- 椭 圆 曲 线 公 钥 密码 系统 : 设 椭圆 曲线 E EXE Z, > EE BEART 
H 使 得 离散 对 数 问题 难 解 。 
明文 空间 : P—Z,XZ, 
密 文 空间 : C—EXZ,XZ, 
密 钥 : K= 二 {(E,a,B,a):B 二 aa 二 a 十 … 十 a( 共 a 个 )}, 其 中 ,a € Eco. EA Ha 是 
私 钥 。 
COD 加 密 算法 : 
ek Get) 一 (yoyyiyyz) 
其 中 ,i 是 满足 :€ Zinm 的 任 选 参数 ,加 密 过 程 如 下 : 
yo = la 
Ca c0) = tg 
yı = c2, mod p 
ya = car, mod p 
(2) 解密 算法 ， 
dkCy) = (yc mod p.y;cz! mod p) 
其 中 , (ci ,cs) 二 ayo。 
例 4.5 定义 在 有 限 域 上 的 椭圆 曲线 E: y= 二 x 十 8z 十 10,p 二 23, 明 文 空间 由 484(22 X 
22 一 484) 个 明文 构成 , 取 明 文 x 二 (19,13), 求 其 加 解密 过 程 。 
选择 椭圆 曲线 上 的 点 : 
a = (7,8) 
4 a—17 0]: 
B= xOC,.8 = (10,20) 
选取 1=3, 则 : 
yo — 3X (7,8) — (22,22) 
(cc) = 3X (00,20) = (18.12) 
yı = 19 X 18 mod 23 = 20 
y» = 13 X 12 mod 23 = 18 
Cyos 31:322 — ((22,22) 20,18) b Jl (00) £s HR. 
实施 解密 : 
Cersi) = 17 X (22,22) — (18,12) 
x, = 20 X 18^! mod 23 = 19 
z: = 18 X 12^! mod 23 = 13 
在 相同 的 安全 性 下 ,ECC 所 需要 的 密 钥 量 比 RSA 少 ,160 位 的 ECC 可 以 提供 与 1024 
位 的 RSA 或 DSA 相当 的 安全 强度 。 椭 圆 曲 线 的 运算 也 很 容易 在 计算 机 的 软件 和 硬件 上 完 
成 。 对 于 带宽 和 存储 受 限 的 环境 ,特别 是 在 移动 通信 和 领域 ,ECC 是 目前 最 理想 的 公 钥 算法 
之 一 。 
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虽然 ECC 效率 很 高 ,但 ECC 的 应 用 面临 一 些 实施 中 的 问题 ,如 椭圆 曲线 标量 乘法 问 
题 .椭圆 曲线 阶 的 计算 问题 和 基点 选取 问题 等 。 


4.3 椭圆 曲线 标量 乘法 


在 ECC 的 实现 中 最 耗 时 的 运算 就 是 椭圆 曲线 标量 乘法 , 即 AP 的 计算 。 下 面 介绍 几 种 
常用 的 标量 乘法 算法 。 


4.3.1 二 进 制 法 
二 进 制 表示 法 是 ECC 标量 乘法 中 标量 的 最 基本 表示 方法 , 即 : 


其 中 ,k;E10,1),l= |logk | 十 1。 
二 进 制 表示 法 分 为 从 右 向 左 和 从 左 向 右 两 种 。 
CD 从 右 向 左 的 二 进 制 算法 描述 如 下 
O Q—0.1-— [log;£ | 1, 
Q 对 于 i 从 0 到 /一 1, 重 复 执行 。 
车 =1, 则 Q=Q+P; 
否则 P—2P. 
G 返回 (Q)。 
例 4.6 椭圆 曲线 Exi (1D: y==x 十 x 十 1,p= 二 211, 已 知 曲 线 上 的 点 是 PC2.860. 
& 一 112, 求 Q=kP。 
先进 行 初始 化 : 
Q= 0; k = (1110000); 
从 右 向 左 计算 过 程 如 下 : 
0; P = 2P = (43.209) 
; P—2P — (207,12) 
;P-2P-O0450 
¿P= 2P = (55,116) 
: Q=Q+P = (55,116);P = 2P = (157,201) 
: Q=Q+P = (29,187);P = 2P = (151,65) 
1; Q— Q4 P — (32,27) 
返回 结果 : Q— (32.27). 
(2) 从 左 向 右 的 二 进 制 算法 可 描述 如 下 : 
O Q=0 , 1= |log:k | -1. 
© 对 于 i 从 0 到 1 一 1, 重 复 执行 : 
Q=2Q 


=. =. O O O 
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zi kl. Q=Q+P. 
© 返回 (Q) 。 
例 4.7 椭圆 曲线 Exi (1D: =x 十 x 十 1,p 二 211, 已 知 曲 线 上 的 点 是 PC2.860. 
k= 二 112, 求 Q—£P. 
先进 行 初始 化 : 
Q — 0; k — (1110000); 
从 左 向 右 计算 过 程 如 下 : 
1: Q=2Q=0; Q=Q+P = (2,86) 
1: Q = 2Q = (43,209); Q = Q+P = (175,28) 
1: Q = 2Q = (12,105); Q = Q+ P = (93,142) 
0: Q = 2Q = (45.190) 
0; Q = 2Q — (137,178) 
0 
0 


: Q = 2Q = (03.177) 
: Q = 2Q = (32,27) 
返回 Q— (32.27), 


4.3.2. 带 符号 二 进 制 法 


1951 年 Booth 提出 了 标量 的 带 符号 二 进 制 表示 ,后 来 Rietweisner 证 明了 对 于 
非 负 整 数 & 均 可 以 唯一 地 表示 为 : 


中 
| 
> 


Kp. €D,—10.2:1).1— |log | 十 1。 
CD 带 符号 二 进 制 表示 法 算法 如 下 : 
Q i=0, l= Llogzk | +1. 
© 4 k>1 时 ,重复 执行 : 
车 上 是 奇数 , 则 ki 二 2 一 (k mod 4), k=k—k;; 
否则 ,k; 二 0。 
Q k=k/2,i=i+1. 
图 3R Fl Ge; ai Rio ett ,ki ,ko)2。 
$4.8. 已 知 &=112, 则 求 带 符号 二 进 制 表示 & 的 过 程 如 下 ， 
i 一 0 
k=112 是 偶数 ， 如 —0; k=56, i= 
k—56 是 偶数 ， 及 一 0; k=28, i= 
k= 二 28 是 偶数 ， à; —0; k=14, i= 
& 一 14 是 偶数 ， ks = 0; =], 4 
有 一 7 是 奇数 ， kı l, k=8; k 
& 一 4 是 偶数 ， A&-—0; R2, i— 
二 2 是 偶数 ， k= 二 0; kl i= 
k= 1 是 奇数 ， hol k=0; k=0, i=8 
3& E| (100 —10000); , 
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(2) 针对 带 符号 二 进 制 表示 的 情况 ,相应 的 标量 乘法 算法 描述 如 下 : 
O 用 上 面 的 算法 计算 


a 
k= ON 
Q Q=0。 
@ 对 于 i 从 /一 1 到 0, 重复 执行 : 
Q=2Q 


Æ k:=1, 0] Q=Q+P; 
车 == 一 1, 则 Q=Q 一 P。 
© 返回 Q。 
例 4.9 椭圆 曲线 Ex; (1,1): y! =r r1. p—211. E Alli ze Eft de P(2,86), 求 
Q—hP.k—112, 
用 前 面 的 算法 先 计 算出 二 (100 一 10000),, 接 下 来 的 过 程 如 下 ; 
Q=0 
1: Q=2Q=0; Q=Q+P = (2,86) 
0: Q = 2Q = (43,209) 
0; Q — 2Q — (207;12) 
—1: Q= 2Q = (14,4); Q = Q— P = (93,142) 
0: Q = 2Q = (45,190) 
0: Q = 2Q = (137,178) 
0: Q— 2Q — (13.177) 
0: Q = 2Q = (32,27) 
返回 结果 Q— (32.27), 


4.3.3 Comb 标量 乘 算 法 


对 于 固定 基点 的 标量 乘 运算 ,在 存储 容量 允许 的 条 件 下 ,可 以 通过 预计 算 并 存储 一 些 与 
基点 了 相关 的 数据 来 加 快运 算 的 速度 ,固定 基点 的 Comb 算法 正 是 基于 这 样 的 思路 。 
VEG ates 为 的 二 进 制 表示 形式 : 


k= YE ke {0,1) 
ww 表示 窗口 宽度 ,w 宇 2, 计 算 d= [1/w ]. 
H AS fw X d 位 , 则 在 L~(wXd 一 上) 位 补 0, 然 后 将 上 三 (ki-1…kko)s II w Bt. BI 
Ki k= Gut R02 EE Ku || || ki || 的 形式 ,每 个 K; 都 是 长 度 为 d 的 二 进 制 
P, TETH k KIRI w frd 列 的 矩阵 形式 , 即 : 


wl d-i 
k= MK". Kiei} 
i=0 j=0 
K? Kia ct Ki ka nob ko 
k = K! |2|Kia ~ Ko |= Rana cU kai 


dia Kei c Ky! kua- sie Brai 
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P 是 椭圆 曲线 上 的 一 个 点 ,对 于 所 有 长 度 为 ww 的 二 进 制 串 (as_1,…,ai,ao), 有 : 
Claws sai sao) P = a, 420 04P 十 … 十 aa24P 十 aoP 
Comb 标量 乘 算法 可 描述 如 下 : 
(D d=[t/w]. 
(2) 计算 22P .2*P、…、2 ?4P, 然后 对 于 所 有 长 度 为 w B LESER Caucasian 
ao) ,预计 算 (as_1，,… ,ail,ao)P。 
CD 将 上 表示 成 ww 行 d 列 的 矩阵 形式 ， 
Q = L[Kz3 Ki, Ky]P 
(4) 对 于 i 从 d 一 1 到 0, 重复 执行 : 
Q=2Q 
Q = Q+[RKY ,Ki;K?JP 
(5) 返回 Q, 


4.4 椭圆 曲线 的 阶 和 基点 


判断 选取 的 椭圆 曲线 是 否 是 非 奇 异 椭圆 曲线 ,是 否 是 安全 曲线 ,需要 计算 椭圆 曲线 
的 阶 。 

如 果 椭 圆 曲 线 的 一 点 已 ,存在 最 小 的 正 整 数 n, 使 得 数 乘 n P — O CIC 23 36 280 BU] n Fi 
为 P 的 阶 。 

例 4.10 椭圆 曲线 E: =r 2-8z2-10. p — 19. TER PU HR E) 51505 P MQ: 

P-(3,2 Q-.,17) 

通过 计算 ,可 以 发 现 Q.2Q.3Q.4Q.5Q.6Q.7Q.8Q、… 的 结果 分 别 是 (5,17) (18,1)、 (1,0)、 
(18,18) (5,2).O(5,17) (18.1)、、… ,出现 周期 为 6 的 循环 , 且 有 6Q=O。 

对 照 群 的 性 质 , 称 Q 的 阶 为 6。 

同样 也 可 以 得 到 PP 的 阶 为 24,Q、2Q、…、24Q 分 别 是 (3,2)、(10,8)、(11,2)、(5,17)、 
(15,3) ,(8,15),(14,15), (18,10, (4,12), C7, 10. (L615:0) 16547 (17,9) (4,7, 
(18,18) ,C14,4) (8.4), (15,16), (5,22 (11,172, (10,112 , (3,17) 0, 

P 和 Q 的 性 质 是 不 同 的 : 椭圆 曲线 上 的 每 一 个 点 都 可 以 表示 成 P 的 指数 形式 ,而 并 不 
是 所 有 点 都 能 表示 成 Q 的 指数 形式 ,能 表示 成 Q 的 指数 形式 的 点 算 上 O 仅 有 6 个 。 

对 照 群 的 性 质 ,P 是 椭圆 曲线 上 的 生成 元 。 

虽然 对 于 小 的 参数 能 够 采用 穷 举 法 ,但 当 椭 圆 曲 线 参数 较 大 时 , 阶 的 计算 变 得 比较 困 
难 。 目 前 主流 的 求解 算法 有 SEA 算法 和 Satoh 算法 , 感 兴趣 的 读者 可 查阅 相关 文献 。 

在 确定 了 椭圆 曲线 之 后 , 找 出 椭圆 曲线 加 群 或 其 大 素 因 子 子 群 的 一 个 生成 元 , 即 基 点 ， 
也 是 相当 重要 的 。 

在 小 参数 情况 下 ,基点 选取 的 步骤 如 下 : 

(1) 椭圆 曲线 E, (a.5) 上 点 的 计算 。 

首先 对 每 个 满足 OK< p 的 x, 计算 十 ar 二 bl(mod p); 然后 对 上 一 步骤 得 到 的 每 个 
结果 确定 它 是 否 有 一 个 模 p 的 平方 根 如 果 没 有 ,那么 在 E,(a,5) 中 就 没有 一 个 横 坐 标 为 
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Zz 的 点 ; 如 果 有 ,就 有 两 个 y 值 (除非 y 值 为 零 ) 。 这 些 (z,y) 值 就 是 椭圆 曲线 E, Ca 0 上 
的 点 。 
(2) 椭圆 曲线 上 点 阶 的 计算 。 
首先 选取 椭圆 上 一 点 q Gro ,yo) ,然后 计算 g 十 go 十 … 十 g, 使 得 ng 二 0 成 立 的 最 小 值 n。 
(3) 检测 n 是 否 是 素数 ,如 果 不 是 ,返回 第 (2) 步 。 
例 4.11 椭圆 曲线 Eon(1,1): y= 二 x 十 x 十 1,p 二 211, 取 曲线 上 的 点 v(2,86) ,计算 该 
点 的 阶 , 即 计 算 使 nv=0 的 nn 值 。 
2v = v+ v = (2,86) + (2,86) = (43,209) 
3v = 2v + v = (175,28) 
4v = 3v + v = (207,12) 
5v = 4v + v = (201,62) 


222v = 22lv + v = (2,125) 
因为 222v=(2,125)=(2,—86) v, FELI 223v 一 222v 十 v 一 0( 无 穷 远 点 ) ,223 即 为 
点 v 的 阶 。 
经 计算 得 n= 二 223。 验 证 得 知 n—223 是 一 个 素数 ,所 以 点 wv 可 以 作为 基点 。 
鉴于 前 面 已 经 介绍 了 椭圆 曲线 的 标量 乘 、 元 素 的 阶 、 基 点 ,下面 给 出 一 个 实际 的 椭圆 曲 
线 公 钥 系 统 实例 。 
例 4.12 Æ PH 256 位 的 情况 下 , 设 定 椭圆 曲线 E, ab): y= 二 如 十 ax 十 b, 其 中 : 
p 255—929 299 29 一] 
a —— 3 (mod p) 
b—0x 5AC635D8 AA3A93E7 B3EBBD55 769886BC 
651D06BO0 CC53BOF6  3BCE3C3E 27D2604B 
基点 G 取 为 (z,y), 其 中 ， 
x—0x 6B17D1F2 El2C4247  F8BCE6E5 63A440F2 
77037D81  2DEB33A0  F4A13945  D898C296 
y=0x 4FE342E2 FEIA7F9B 8EE7EB4A 7COF9E16 
2BCE3357 6B315ECE  CBB64068  37BF51F5 
计算 基点 的 阶 , 可 得 ， 
n=0x FFFFFFFF 00000000 | FFFFFFFF FFFFFFFF 
BCE6FAAD A7179E84  F3B9CAC2 FC632551 
在 区 间 [1,n 一 1 中 随机 选取 一 个 整数 d: 
d=0x 02BEEAAF F21EBDD3 44CACFF5 31A49515 
90782720 | 746EA776 C34D309E FFAE5AAB 
计算 点 Q—4GCG 个 G 相 加 ): 
za=0x 2A5D8E9B 9216DB25 79BB64CB 108C22D4 
268C8DC3 BEC8F94A 8B6FC3DF A2984D2F 
yo=0x 043D9CFB E54CC922 DD975CAA EOF82EBE 
OFE88607 2AB3D064 16A9943C  DIB087D8 
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接收 方 公开 自己 的 公开 密 钥 (E(F,),G,n,Q); 
发 送 方 要 发 送 消息 m 给 接收 方 ,于 是 将 m 表示 成 一 个 域 元 素 m€ F, ik: 
m-—0x 2EAD 
在 区 间 [1,n 一 1 内 选取 一 个 随机 数 : 
k=0x FC246BB9 7577653D 5417FEE4  E7C7A495 
82CICIE6 F704C223 6CC9C719 5B866A08 
依据 Bob 的 公 钥 计算 点 (zi y1) =kG: 
xı =0x 85960405 FB27A306  7F4B35B3 316EA176 
FD6F7FFA 4E908539 82CD39DO  60A15FD9 
yi—0x 5CDB65D9 E42AC7F9 9FA543CD F6A84BDC 
EB74F9F5 23BDC6F1  B4D8087B  B2256E60 
计算 点 (za，y) 一 AQ: 
2 一 0x E2096AC7 01789F63 E88DD15C 69E03E9F 
804166A8 | 9DEE9F59  35719BF6 2F3402C6 
y270x 0A6A0174 E9A6D109 59CFC4D4  EEECE23C 
A8313141  60BB91AF  A432FF3E 64872105 
计算 C—m*2 
C=0x 718DI3F5 AB278117 A3751679  D7CAFADS 
6CA4831D 9AE3B6E3 87CCAID9 3EA59D04 
传送 加 密 数 据 (zi ,yi,C) 给 接收 方 。 
接收 方 收 到 密 文 (z1 ,yi,C) 后 ,用 私 钥 d TESTER Geo y2) — d Gri y ,再 计算 FF ma 
fi f : 
z,-—0x E2096AC7 01789F63 E88DD15C 69E03E9F 
804166A8 9DEE9F59  35719BF6 2F3402C6 
yy 一 0x 0A6A0174 E9A6D109 59CFC4D4 EEECE23C 
A8313141 60BB91AF  A432FF3E 64872105 
xz'=0x 38061B20 9B86E8B6 “9187F19A  559C7BEB 
53AE7D38 4B4D2DC1  5C4C44C4  81C71D08 
通过 计算 m— Cas! ,恢复 出 明文 数据 m 
m 一 0x 2EAD 


4.5 ”GF(2”) 域 的 椭圆 曲线 


前 面 介绍 了 素数 域 上 的 椭圆 曲线 ,从 应 用 的 角度 来 考虑 ,GF(2”) 域 的 运算 比 在 素数 域 
上 的 运算 更 容易 用 硬件 来 实现 ,所 以 定义 在 GF(2”) 上 的 椭圆 曲线 也 是 一 个 不 错 的 选择 。 
GF(2”) 上 的 椭圆 曲线 由 满足 : 
y + ary = t Har’ +b (4. 2) 
的 点 (x,y) 和 一 个 特殊 的 无 穷 远 点 O 构成 。 
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其 中 ,ae.OEGF(C2”) 且 0 天 0。 
阶 为 2” 的 有 限 域 又 称 为 二 进 制 域 或 者 是 特征 是 2 的 有 限 域 。 
GF(2”) 的 表示 方法 主要 有 两 种 : 多 项 式 基 (Polynomial Basis) 表 示 法 和 正规 基 


(Normal Basis) 表 示 法 。 多 项 式 基 更 易于 理解 ,因此 本 书 主要 介绍 基于 多 项 式 基 表 示 法 的 
椭圆 曲线 。 


在 多 项 式 基 表 示 法 中 ,GF(2”) 域 上 的 元 素 的 最 高 次 数 是 m 一 1 次 ,表示 如 下 : 
an- I" d as-ax" ? d +H art ao 


其 中 ,a; EGF(2"),i€ (0.1.2, ,m—1). 
例 4.13 二 进 制 域 GF(2*) 上 的 所 有 元 素 , 如 表 4.2 所 示 。 
表 4.2 多 项 式 基 表示 法 


0 æ a* ziv 

1 zu zl zs Y 

T zc zr a! Fa 
zd ZT 十 z 十 1 ical +H ++ 


取 GF(2) 域 上 的 不 可 约 多 项 式 是 f(z) 二 x 十 + 十 1, 定 义 GFO E fie 8: 


加 法 : 
(十 ]) 十 (zx 十 十 ZT) 二 十 x 十 1 
乘法 : 
Gi? az tll at) 
Ga H-a* 4-39) 4 G* E a* aH Hx FD 
—(z5--xr-4-1) mod (zt --z4- 1) 
=a +1 
减法 运算 与 加 法 运算 相同 ,如 : 
减法 : 


《二 于 关 村 交 上 直入 二 (有 条 下 三 天 未 开 
乘法 逆 运 算 由 乘法 得 到 ,如 ， 
KE; (zz 十 十 1) !==xz? ,因为 (x? 十 x 十 1) * G2) —1 mod G*4- x41) 
不 可 约 多 项 式 是 指 不 能 分 解 的 多 项 式 。 表 4. 3 给 出 了 NIST 推荐 的 不 可 约 多 项 式 。 


表 4.3 NIST 推荐 的 不 可 约 多 项 式 


有 限 域 不 可 约 多 项 式 有 限 域 不 可 约 多 项 式 
GF(2!9) f Gn) m x1 a al GF(299) fG)— a1 Ea" 1 
GF(299) f(z)=z oat 1 GF) f) m a8 p at d a5 ut 41 
GF(25) fG)— 319 Ex a dl 


基于 GF(2”) 域 上 的 运算 可 以 得 到 GF(2”) 域 上 椭圆 曲线 的 运算 。 

设 巨 是 定义 在 式 (4.2) 上 的 椭圆 曲线 ,P(xzi,y1)、Q(zz s y2) RCs ,ys) 是 椭圆 曲线 上 的 
AB. R=P+Q,GF(2”) 域 上 椭圆 曲线 的 运算 如 下 : 

(D O+P=P+O=P。 
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(2) P SE. 一 P 一 (zz 十 yi)。 
(3) 当 已 和 Q 不 是 同一 点 时 , 即 PAQ H: 
人 =} +A +z +r: +a 
ys = AGr bn +x +y 


Hp, a=% TY 


Lita" 
(4) 4 PA 是 同一 个 点 时 , 即 P=Q 时 : 
e —X-cAca 


ys = 23i FA Da, 
Ah ASe HOD PQ 直线 的 斜率 )。 


例 4.14 f(z) 二 x 十 z 十 1 是 域 GF(2*) 上 的 不 可 约 多 项 式 ,椭圆 曲线 E: v 十 zy 一 
a? d z*a* FG ED ,曲线 上 除 无 穷 远 点 O 的 所 有 点 是 : 
(0000.1011) (0001,0000) (0001,0001) 
(0010,1101) (0111,1100) (0011,1100) 
(0011,1111) (0101,0000) (0101,0101) 
(0111,1011) (1011,1001) (1000,0001) 
(1000,1001) (1001,0110) (1001,1111) 
(1011,0010) (1100,0000) (1100,1100) 
(1111,0100) (1111,1011) (0010,1111) 
点 加 运算 : 
(0010,1111) + (1100.1100) = (0001.0001) 
标量 乘 运 算 : 
2(0010,1111) = (1011,0010) 


4.6 离散 对 数 问题 的 求解 


ElGamal 公 钥 密码 算法 基于 离散 对 数 问题 (Discrete Logarithm Problem, DLP) ,而 椭圆 
曲线 公 钥 密码 算法 基于 椭圆 曲线 上 的 离散 对 数 问题 (Elliptic Curve Discrete Logarithm 
Problem,ECDLP) 。 

离散 对 数 问 题 前 面 已 经 描述 过 ,椭圆 曲线 上 的 离散 对 数 问题 与 一 般 的 离散 对 数 问题 类 
似 ,具体 描述 是 给 定 一 条 有 限 域 上 的 椭圆 曲线 以 及 椭圆 曲线 的 两 个 点 P 和 Q, 寻 找 一 个 整 
数 上 ,使 得 P 二 kQ, 如 果 这 样 的 数 存 在 ,这 就 是 椭圆 曲线 离散 对 数 ; 即 选 取 椭圆 曲线 上 的 一 
个 点 PGe y) ,作为 一 个 基点 :那么 给 定 一 个 整数 &, 计 算 Q— EP 是 容易 的 ,但 是 已 知 了 点 P 
和 QQ 想 要 求 出 k 则 是 非常 困难 的 。 

目前 ,对 DLP 和 ECDLP 的 攻击 一 般 有 以 下 一 些 方法 。 

1. 穷尽 搜索 法 

穷尽 搜索 法 是 求解 离散 对 数 最 简单 的 方法 ,通过 依次 计算 a La! La? Ln La" ,直到 得 到 使 
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ft a* =p f x 的 值 ,这 个 方法 需要 的 时 间 复 杂 度 是 O(n) ,空间 复杂 度 是 O CD «n 就 是 a 的 
阶 , 因 此 当 n 很 大 时 ,这 个 方法 是 不 可 行 的 。 

2. 大 步 小 步 法 

大 步 小 步 法 (Baby Step/Giant Step) 是 由 Shanks 提出 的 ,在 1978 年 以 前 该 算法 是 求解 
ECDLP 的 最 好 方法 。 

假设 群 的 阶 是 ,点 a 的 阶 也 是 2 , 设 g—a LS] /n | ,那么 工 可 以 表示 成 工 一 谍 十 7 
的 形式 ,其 中 ,0<i、j 过 LL, 因此 a 二 a*"ai, 可 以 得 到 Blar) H Sd ,由 此 可 得 zx 的 计算 方法 。 

R L-—|/n| ,建立 一 个 表 AG) D Ox Ros j— LIT TE w 进行 排序 ,其 中 j 表 
示 的 是 “小 步 ”。 

依次 计算 8Car)“, 其 中 0 i <L RRE Kb". SRI E Ely de A 中 进行 查询 ， 
如 果 w 中 存在 和 BCa") “相同 的 值 , 则 z 一 记 十 7 。 

例 4.15 4 p—181.a—23 是 阶 为 180 的 生成 元 ,8=113, 求 离散 对 数 log; 113 的 值 。 

解 : 


L| /180|2 14 
a — 65, a™ = 65" (mod 181) = 20 
建立 一 个 表 A(j,ai) OS j< 14. A a? 值 的 大 小 进行 排序 ,得 到 结果 如 表 4.4 所 示 。 
表 4.4 o! 的 计算 结果 表 


23'C(mod)181| 1 15 23 40 44 57 107 108 117 131 152 157 164 167 


对 i 分 别 取 0、1、2、…、13, 依 次 计算 113 23. 1 89 fe MAE 4. 5 所 示 。 
表 4.5 113x23-，"i 的 计算 结果 表 


i 0 1 2 3 


113 * 23 ** (mod 181) 113 88 131 40 


i 二 2 时 ,113* 23 "*'(Cmod 181) —131 在 表 4. 4 中 就 出 现 了 j= 二 11。 

因为 r=ix* L+j=2 x 14 十 11 一 39, 所 以 log:113 王 39。 

大 步 小 步 法 需要 存储 O( /7) 个 元 素 ,构造 表 需 要 O( /7) 个 乘法 和 O( /nlogn) 次 比较 。 
在 大 步 小 步 法 中 需要 OC /n) 个 乘法 ,每 次 乘法 的 结果 需 做 O(log 2c 次 比较 ,所 以 该 算法 的 
时 间 复 杂 度 和 空间 复杂 度 都 是 O( /nlogn) 。 大 步 小 步 法 在 时 间 复 杂 度 上 的 减 小 是 以 空间 复 
杂 度 的 增加 为 代价 的 。 

3. Pollard p 方法 

1978 年 Pollard 提出 了 一 种 以 概率 求解 的 方法 ,其 时 间 复 杂 度 与 大 步 小 步 法 相当 , 约 为 
O /xn/2 ,但 是 其 空间 复杂 度 只 有 OCD ,在 这 一 点 上 该 算法 优 于 大 步 小 步 法 。 

算法 可 描述 如 下 : 首先 将 群 G 分 成 3 个 大 小 相当 的 子 集 S 、S, 和 S. ,然后 随机 的 选取 
ao 和 加 :计算 ao =a“ g^ ,按照 以 下 的 方式 进行 定义 序列 : 
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(Br;x; € Sı 


rua) = 4313; € S 
ari:r; € Ss 
aixi € $ 

ain = 42a;,x; € S 
a; lsz; € S, 


b;c-le;€S 
bin 一 420zi € S; 
bisz; E€ S, 

Gc; ) B IC Fil E Sap" ,其 中 i 大 于 等 于 0, 由 于 {xi} 会 重复 , 设 正 整数 i 不 等 于 
,满足 x= zj it = logh M: 

qi a“ p^ D zj aithi aip 

所 以 xz(b; 一 b) =a; —b; (mod n). 

车 ged(n b; — b) — 1. W) x WERA — P r= (GO; — b) (mod 1)! * (a; —5;) (mod n). 

例 4.16 iE p—179 的 群 G 中 ,=3,8=75,a lr n H 893R x — log. 

解 : 首先 将 群 G 分 为 规模 相当 的 3 个 集合 Si 、S;、S;: 

Sı = [1,59], S = [60,118], S, = [119,178] 


随机 选取 ao vbo : 
ao = 133, bo = 158 
计算 zo 二 a%B% —57 mod(p), 并 根据 上 面 的 规则 计算 出 ssa; o; 值 ,如 表 4.6 所 示 。 


表 4.6 xab WA 


有 Xi di bi 
15 89 34 049 40 810 
16 45 68 098 81 620 
17 153 68 098 81621 
18 101 68099 81621 
19 177 136 198 163 242 
20 173 136 199 163 242 
21 161 136 200 163 242 
22 125 136 201 163 242 
23 17 136 202 163 242 
24 22 136 202 163 243 
25 39 136 202 163 244 
26 61 136 202 163 245 
27 141 272 404 326 490 
28 65 272 405 326 490 


Hi dé 4. 6 可 以 看 出 zas =ar, H gcd(89,bzs 一 bs) 二 1, 则 根据 
aba — b2) = az — ass (mod 89) 
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来 得 到 xz。 令 : 


则 : 


所 以 z==log375 二 53。 


r = (bz — b; ) (mod 89) = 76 


r!— 76 ! (mod 89) = 41 
x= 4] * (a; — a;) (mod 89) 
= 41 « (266 — 272 405) (mod 89) 
— 53 


以 上 对 攻击 方法 针对 任意 的 离散 对 数 问题 。 对 于 椭圆 曲线 离散 对 数 问题 ,有 时 由 于 参 
数 选取 不 当 , 形 成 特定 的 安全 性 较 弱 的 特殊 椭圆 曲线 ,此 时 可 能 存在 亚 指数 时 间 复 杂 度 甚至 


多 项 式 复杂 度 的 求解 


算法 。1991 年 由 Menezes, Okamoto 和 Vanstone 提出 的 MOV 攻击 


方法 及 1998 年 Smart、Semaev、Satoh 和 Araki 提出 的 SSAS 算法 就 是 这 种 情形 下 的 典型 攻 
击 方法 。 感 兴趣 的 读者 可 以 查阅 相关 文献 。 

随 着 ECC 的 不 断 完善 ,ECC 逐渐 发 展 成 当今 密码 体制 中 最 受 青睐 的 公 钥 密码 体制 之 
一 。1998 年 ECC 被 确定 为 ISO/IEC 数字 签名 标准 ISO14888-3; 1999 年 椭圆 曲线 数字 签 
名 算法 ECDSA 被 ANSI 机 构 接纳 为 数字 签名 标准 ANSI X9. 62, 同 时 椭圆 曲线 DH 体制 版 
本 ECDH 被 确定 为 ANSI X9. 63; 2000 年 ECC 被 确定 为 IEEE 标准 的 IEEE 1363 一 2000。 


. RARES 
< FR DIRE CZ 


. 试 求 群 (2 ,+ 
. 试 求 群 (Zis， 


on o0 Dm — 


组 成 的 群 G, 试 写 出 G 的 乘法 


有 子 群 。 


4.7 习 题 


，* ) 中 所 有 的 生成 元 。 
,十 ) 中 所 有 的 生成 元 。 


.CBORHECZGS ,x ) 中 元 素 3 和 7 的 阶 。 


+) 中 元 素 3 和 7 的 阶 。 


十 ) 中 所 有 元 素 的 阶 。 
. 已 知 下 列 4 个 置换 


1 
» -[, 


2 

2 

na 
„=f; 1 
K. 


3 i| 

3 3 

3 `] [ "| 
EE 

3 4 2 1 3 

并 


且 求 出 G 的 单位 元 及 rr ens sr 和 G 的 所 


e e 
L4 
a 
S 
p 
= = 

N NN 


e w 4 w 


7. 设 a 和 2 是 一 个 群 G 的 两 个 元 且 ab 二 ba, 又 设 a WB lal =m. b ffr |b| =n. 3f E. 
(zy72) 一 1 证明: ab 的 阶 |ab| — mn. 
8. 有 限 域 上 的 椭圆 曲线 E: y^ =r o 10x-22(mod 31): 


COD 求 椭圆 曲线 


上 所 有 的 点 ; 


(2) 求 点 (2,9) 的 阶 ; 


G)GR 90,5 
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(D Æ (9.2) — (2.9) 5K k. 

9. 使 用 ElGamal 公 钥 密码 算法 对 信息 m — 2005 进行 加 密 ,ElGamal 公 钥 体制 的 参数 
是 p—2999,a9—11.a—168.&—296, 
0. 使 用 ElGamal 公 钥 密码 算法 对 信息 c=(831,1275) 进 行 解 密 ,ElGamal 公 钥 体制 的 
参数 是 —3001.a—19,4—158.& —2005, 
1. 根据 群 的 定义 ,证 明 有 限 域 上 的 椭圆 曲线 上 的 点 和 运算 “十 ”构成 Abel 群 。 
2. 求 椭圆 曲线 E: y? 二 x 十 10x 十 22(mod 31) 上 的 点 。 
3. 在 椭圆 曲线 E: y= +10r+22(mod 31) 上 ,已 知 P.Q.R3 点 : 

P—(2,9. Q—(6,5, R= (48 


分 别 求 P--Q.Q-ER, 
4. 在 椭圆 曲线 E: 交 一 心 十 10z 十 22(mod 31) 上 ,已 知 P.QR 3 点 : 
P = (20,10), Q= (18,19), R= (21,10) 


试验 证 ， 
(P--Q)--R — P--(QQ--R) 

15. 椭圆 曲线 E: y =x --10x--22(mod 3D , 取 点 P: P= 二 (9,2), 分 别 求 2P、5P、17P、 
23P 和 34P。 

16. 椭圆 曲线 E: y = +10r+22(mod 31) , 找 出 所 有 生成 元 。 

17. 椭圆 曲线 E: y? = +10r+22 (mod 31) ,分 别 求 点 P —(20.100,Q— (18.190, 
R—(OG1.10 W. 

18. 利用 椭圆 曲线 E: y^ —a 2-102 2-22( mod 31) ,设计 一 种 MV 椭圆 曲线 公 钥 密码 

19. 使 用 椭圆 曲线 公 钥 密码 算法 对 信息 m — (22,26) 进 行 加 密 ,椭圆 曲线 公 钥 体制 的 参 
数 是 E: y! =x +10r+22(mod 31),a 一 (7,1) ,8 一 (2,9) ,oa 一 19,t 一 5。 

20. 使 用 椭圆 曲线 公 钥 密码 算法 对 信息 六 =((29,26),2,30) 进 行 解密 ,椭圆 曲线 公 铀 
体制 的 参数 是 E. y= +10r+22(mod 31) .a— (CDD 48— (2.9) ,oa 一 19,: 一 5。 
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除了 基于 大 数 因 式 分 解难 题 或 离散 对 数 问题 的 公 钥 密码 系统 之 外 , 公 钥 密码 系统 大 家 
族 中 还 包含 许多 其 他 的 公 钥 密码 系统 。 这 些 其 他 的 公 钥 密码 系统 各 具 特 色 , 基 于 各 种 类 型 
的 NP 问题 。 


5.1 背包 公 钥 系统 


背包 公 角 密码 系统 建立 在 子 集 和 问题 的 基础 之 上 ,以 下 称 背包 问题 。 

背包 问题 的 一 般 描述 如 下 。 

假设 有 NN 件 物品 和 一 个 背包 ,不 妨 设 其 中 第 i 件 物品 的 重量 是 c; ,价值 是 w W 是 背包 
能 够 承受 的 最 大 重量 。 如 果 要 从 N 件 物 品 中 取 几 件 物品 , 装 进 背 包 , 问 题 是 将 哪 几 件 物品 
装 人 背包 可 使 这 些 物 品 的 重量 总 和 不 超过 背包 容量 V, 且 总 价值 最 大 。 

原则 上 只 要 搜索 集合 C 三 {a ,cs，…,cw} 的 所 有 子 集 ,并 检验 子 集 中 元 素 之 和 是 否 不 超 
过 V, 把 所 有 满足 条 件 的 子 集 找 出 来 ,然后 从 中 挑 出 总 价值 最 大 的 一 个 子 集 , 问 题 就 能 解 出 。 

显然 要 搜索 的 子 集 个 数 为 

Ch - Ch d- C = 2N 

现 有 的 结论 是 : 背包 问题 是 NP 完全 问题 。 

在 理论 上 ,很 多 整数 规划 问题 的 解决 都 能 够 借助 背包 问题 得 以 解决 ; 在 实际 应 用 中 ,如 
资源 分 配 .投资 决策 .货物 运输 等 应 用 都 可 用 背包 问题 来 建 模 。 

1978 年 ,Merkle 和 Hellman 率先 提出 利用 背包 问题 建立 公 钥 密码 体制 , 称 为 MH 背包 
公 钥 密码 系统 (Merkle-Hellman Knapsack System) 。 

不 过 ,MH 背包 公 钥 密码 系统 中 的 背包 问题 是 另 一 类 背包 问题 ,与 背包 问题 的 一 般 描 
述 略 有 不 同 。 

另 一 种 背包 问题 可 描述 如 下 : 

假设 有 N 件 物品 和 一 个 背包 ,不 妨 设 其 中 第 i 件 物品 的 重量 是 c;, 问 题 是 如 何 从 NN 件 
物品 中 取 几 件 物 品 使 得 这 几 件 物品 的 总 重量 等 于 V。 

由 于 要 搜索 的 子 集 个 数 依然 是 2 ,所 以 此 背包 问题 也 是 NP 完全 问题 。 此 背包 问题 又 
称 子 集 和 问题 。 

为 了 构造 公 钥 体制 ,下 面 通过 引入 一 个 超 递增 性 序列 ,形成 一 类 特殊 的 子 集 和 问题 。 

超 递增 性 序列 的 子 集 和 问题 : 已 知 集 合 [一 ( eme ,xz), 其 中 5、…、s 是 满足 超 递增 
性 的 序列 , 即 : 


s js XPTP2«jen 
为 目标 和 , 问 是 否 存 在 x 三 (zi,… ,zx,) Gr; 的 取 值 只 能 是 0 或 1) 使 得 : 
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SP au =g 
简单 地 说 ,所 谓 超 递增 性 是 指 每 一 个 靠 后 的 数 都 比 前 面 所 有 数 的 和 还 大 。 例 如 ,发 行 的 
人 民 币 的 序列 是 (单位 元 )0. 01、0.02、0.05、0.1、0.2、0.5、1、2、5、10、20、50、100, 不 难 验证 : 
0.01 +0.02 < 0.05 
0.01 +0.02+0.05 < 0.1 
0.01 +0.02 +0.05 2-0. 1 — 0.2 


说 明 人 民 币 序列 满足 超 递 增 性 。 
虽然 背包 问题 是 NP 完全 问题 ,但 是 超 递增 性 序列 的 子 集 和 问题 的 求解 却 相 对 容易 。 
此 类 背包 问题 的 典型 求解 算法 是 “贪心 ”算法 (Greedy Algorithm) 。 
首先 选 最 大 的 数 5, 放 入 背包 ,车 能 放 入 , 令 相应 的 x, 为 1; 否则 , 令 相 应 的 zx, 为 0。 再 从 
s PRE zwsw 后 求 zx,-i ,以 此 类 推 ,直到 求 出 xz 为止。 当然 ,也 可 能 无 解 。 
具体 算法 描述 如 下 : 
for k=n to 1 do 
if r>= s(k) then 
r=r-s(k) 
x(k)=1 
else 
x(k)=0 
if S x(k)s(k) = z then 
UT xe (x(1),x(2),…,x(n) ) 就 是 背包 问题 的 解 
else 
该 背包 问题 无 解 
此 类 子 集 和 问题 能 够 求解 ,恰恰 是 利用 了 超 递 增 性 序列 的 特性 。 
例 5.1 求解 背包 问题 ; (2,5,9,21,45,103,215,450,946 | 1643), 
通过 背包 问题 的 贪心 算法 来 求解 : 
r(0) —1643 
58 1435; 16432846 x(8)=1 r(1)—1643—946—697 
58 24b. 6972450  x()-—1 r(2)—247 
第 3 步 ， 4502215  z(60—1 r(3)—32 
第 4 步 32<103 xz(5)=0 r(4) 一 32 
第 5 步 : 32-45 x(4)=0 r(5)—32 
第 6 步 : 32221 x(3-1 r(6) 一 11 


第 7 步 : 119 x(2)=1 r(7)-2 
第 8 步 : 2-5 z(1)=0 r(8) 一 2 
第 9 步 : 2—2 zx(1)=1 r(9)—0 
于 是 最 终 解 为 : 


x= (1,0,1,1,0,0,1,1,1) 
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ja n 
背包 公 钥 密码 系统 : 设 Ges 2 5 的 超 递增 序列 , 取 满 足 p> 2 5 
的 素数 p ,和 满足 1<a<p 一 1 的 a, 计 算 : 
t = (t.t). tı = as; mod p 
明文 空间 P=={0,1)", 密 文 空间 C={0,…,n(p 一 1)} 
密 钥 K 二 {(s,p,a, 四 ), 其 中 ,i 为 公 钥 ,s、.p\a 是 私 钥 。 
加 密 算法 : 
ek Gr; ru) 一 S ah 
i=l 
解密 算法 : 
z =a" y mod p 
背包 问题 (9 ,…',s LO PORE Cr, nn en DEE R o 
4515.2 在 背包 公 钥 密码 系统 中 , 设 s==(2,5,9,21,45,103,215,450,946), p= 二 2003， 
41289. H4 s.p 和 a 可 计算 出 1: 
t = (575,436,1586,1030,1921,569,721,1183,1570) 
t 是 公 钥 ,用 1 对 消息 + 二 (1,0,1,1,0,0,1,1,1) 进 行 加 密 : 
a = 575 -- 1586 + 1030 + 721 + 1183 + 1570 = 6665 
解密 时 , 先 求 zx: 
z = 128976665 mod 2003 = 1643 
得 到 背包 问题 (2,5,9,21,45,103,215,450,946 | 16430 ,根据 前 面 的 贪心 算法 ,可 解 出 un 
a= (1,0,1,1,0,0,1,1,1) 


5.2 McEliece 公 钥 密码 系统 


1978 4E, Berlekamp, McEliece fll VanTilborg 证 明了 一 般 线 性 纠 错 码 的 译 码 问题 是 NP 
完全 问题 。 紧 接着 , McEliece 利用 这 一 NP 完全 问题 ,首次 构造 出 了 一 类 基于 一 般 线 性 纠 错 
码 的 公 钥 密码 体制 , 称 为 McEliece 公 钥 体制 。 

介绍 McEliece 公 钥 体制 前 ,有 必要 先 了 解 一 些 关 于 编码 的 基础 知识 。 

在 数字 信和 号 传输 过 程 中 ,由 于 噪声 的 存在 及 通信 信道 特性 不 理想 ,都 可 使 信号 波形 失 
真 ,其 结果 是 在 接收 端 接收 到 错误 的 编码 。 为 了 尽 可 能 提高 数字 通信 的 可 靠 性 ,引入 差错 控 
制 编码 ,又 称 纠 错 编 码 。 

纠 错 编 码 分 以 下 两 步 实施 : 

CD. 编码 , 即 在 要 传送 的 数字 信息 序列 中 按 一 定 规则 混和 人 一 些 元 余 码 元 ( 校 验 位 ) 。 编 
码 过 程 也 可 以 理解 成 一 个 变换 。 

通常 以 (n,) 组 码 表示 由 /位 0、1 字符 串 转 换 成 位 0,1 字符 串 的 编码 过 程 : 

将 信息 


m= mm: "m m;€ (0.1) i— 0.1.4 
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变换 为 码 文 
Elm) 一 也 一 rr w; E {0,1} 一 0,1, 

(2) 译 码 , 即 在 接收 端 鉴别 传输 过 程 是 否 发 生 错误 或 纠正 错误 ,恢复 原始 信息 序列 。 

例 5.3 奇偶 校 验 码 可 表示 成 (n 十 1,n) 检 错 码 的 形式 , 即 在 n 位 信息 后 面 附 加 一 位 奇 
偶 校 验 位 : 

EGn) = m = myms;* mm 

如 果 传 输 过 程 中 出 现 了 一 个 错位 ,即将 某 一 位 的 0 错 为 1 或 将 1 错 为 0 则 可 立即 被 发 
现 。 当 然 如 果 位 中 出 现 两 个 错位 ,反而 发 现 不 了 。 奇 偶 校 验 码 并 不 能 判定 哪 位 出 了 差错 ， 
因而 只 能 是 检 错 码 。 

与 奇偶 校 验 码 不 同 , 重 复 码 可 用 来 纠 错 。 

采用 重复 3 次 的 方式 进行 编码 , 即 (3n,7) 码 : 

EGn) = mm m, 77217722 m, mimo m, 

即 对 每 组 位 的 码 连续 传输 了 3 遍 。 如 果 某 一 位 出 现 不 同 , 而 另外 两 组 是 一 样 的 便 以 出 现 两 
次 一 样 的 为 准 。 当 然 ,同时 在 同一 位 上 出 现 两 次 或 三 次 错 的 可 能 性 依然 存在 ,但 出 现 概率 就 
少 多 了 。 

设 一 次 传输 出 错 概率 为 P, 二 0.001, 则 (3n,n) 码 传输 正确 的 概率 为 : 

(1— 0.001)? + 3 x 0. 001 » (1 — 0. 001)? 0. 997 003 + 0. 002 994 = 0. 999 997 

所 以 传输 正确 的 概率 从 单 次 传输 的 0. 999 提高 到 0. 999 997 ,付出 的 代价 是 码 文 比 明 文 
扩大 了 3 倍 。 

纠 错 编码 有 多 种 分 类 : 按 功能 分 ,可 分 为 检 错 码 和 纠 错 码 ; 按 校 验 码 元 与 信息 码 元 之 
间 是 否 存 在 线性 关系 ,可 分 为 线性 码 与 非 线 性 码 ; 按 信息 码 元 与 校 验 码 元 之 间 的 约束 关系 
不 同 ,可 分 为 分 组 码 与 非 分 组 码 ( 卷 积 码 ); 按 码 元 的 取 值 方法 ,可 分 为 二 进 制 码 与 多 进 
制 码 。 

定义 (Hamming 重量 ): CL m — mim; m, m; € (0,1) ,i 二 1,… n EX 


wlm) = S5 
i=1 
为 m 的 Hamming 重量 或 权 , 也 就 是 mx 的 nn 位 中 1 的 数量 。 
定义 (Hamming 距离 ): 已 知 : 
a 一 (aiyaz as-) a; € {0,1} i = 1,2,°…,n 
b = (bbb au) b; € {0,1}, i — 1,2,° nn 
定义 d(a,b) 表 示 a Mb 各 对 应 码 元 之 间 不 相同 的 个 数 , 即 : 


d(a,b) = M | a; — b; |= Sa Dh) 
ia ici 
XT Hamming 距离 有 以 下 的 结论 ,此 处 不 加 证 明 。 
Ti abc 都 是 长 度 为 n 的 0、1 字符 串 : 
a 一 (aiyazy as) a; € {0,1},i = lon 
b = (sb; b; € (0,1) — len 
€ = Cascs,*.6) G € {0,1}, i = Tn 


则 : 
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d(a,b) = d(b,a) 
d(asc) < d(a.b) + d(b,c) 
定理 5.1 一 组 码 可 以 检 出 个 错误 的 充 要 条 件 是 码 间 最 短 距 离 至 少 为 k& 十 1。 
WEBB: 设 weiss tw, EBF w 传输 中 有 误差 e, 收 到 的 是 r= 二 w 十 e,e 能 被 检 出 的 充 
要 条 件 是 w 十 e 不 是 码 字 ,因此 能 检 出 个 错误 的 充 要 条 件 是 码 间 最 短 距离 至 少 为 十 1。 
定理 5.2 ”如 果 两 个 码 字 组 之 间 的 最 短 距离 为 2 十 1 则 可 以 纠正 不 超过 A 的 误 码 。 
WEBB. 设 码 字 a 传输 过 程 中 发 生 错误 得 到 的 是 ~, 且 dCa r) Ek 则 不 存在 别 的 码 字 与 7 
的 距离 不 超过 上 。 否 则 设 该 码 字 为 5, 满足 4(b,r) 三 k, 于 是 有 : 
d(a,b) x d(asr) d dCb.r) Sk+k 
这 与 假设 产生 矛盾 ,命题 得 证 。 
以 上 两 个 定理 给 出 了 检 错 码 和 纠 错 码 的 构造 要 求 。 
$5.4 已 知 码 字 : 
10010 01001 10101 01110 
两 个 码 字 之 间 进 行 模 2 加 运算 ,可 得 表 5. 1 模 2 加 运算 表 。 
表 5.1 模 2 加 运算 表 
10010 01001 10101 01110 


10010 11011 00111 11100 
01001 11011 11100 00111 
10101 00111 11100 11011 
01110 11100 00111 11011 


由 表 5. 1 可 见 ,任意 两 个 码 字 的 最 小 距离 是 3, 因 此 能 纠正 1 个 错误 。 
具体 纠 错 的 译 码 表 , 如 表 5.2 所 示 。 


R52 纠 错 译 码 表 
w 10010 01001 10101 01110 
00010 11001 00101 11110 
11010 00001 11101 00110 
r 10110 01101 10001 01010 
10000 01011 10111 01100 
10011 01000 10100 01111 


K 5. 2 中 给 出 的 是 距离 为 1 的 译 码 表 , 如 r— 11001. H FE 01001 的 距离 为 1, 因此 
译 为 01001, 并 且 能 够 发 现 错误 发 生 在 第 1 位 上 。 
可 以 引入 生成 矩阵 来 规范 编码 过 程 。 


Gi B11 B12 Ut Eta Ein 

G B21 B22 Ben E21 B2 

4 G = (gjon 一 $ j= : : E 5 3 
Gi Exi Bl-l2 77 Bilin-l Era 

Gi j| En Er dn Bai Er 
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有 了 生成 矩阵 ,编码 过 程 可 通过 算 阵 运算 实现 , 即 : 


gu giu Bia 
En B22 B2.) 
W = E(m)= (m m * ma m) i i 
gii gia Bin 
En En Ein 
L 
= D mG; 
ici 
例 5.5 W: 
I0 OQ 0 
G—-/001001 1 
0 oó 11 901 
则 信息 110 对 应 的 码 字 是 : 
100110 
w=(1 1 000 1 0011 
0 0 I i O0 1 
=(1 1010 D 


现 将 长 度 为 3 的 信息 和 对 应 的 码 字 列 表 , 如 表 5. 3 所 示 。 
表 5.3 ”信息 和 对 应 的 码 字 表 


信 a 码 f 
0 0 0 0 0 0 0 0 0 
0 0 1 0 0 1 1 0 1 
0 1 0 0 1 0 0 1 1 
0 1 1 0 1 1 1 1 0 
1 0 0 1 0 0 1 0 
1 0 1 1 0 1 0 1 1 
1 1 0 1 1 0 1 0 1 
1 1 1 1 l 0 0 0 


表 5. 3 中 码 字 ( 共 6 位 ) 的 前 3 位 为 信息 位 ,余下 的 3 位 是 校 验 位 。 

同 理 , 如 果 是 (z,0) 码 ,可 将 G 写成 以 下 形式 ， 

1 Q == Q0 O0]. 812 Uto Bini- Eia 
0 1) … 0 0| ga B22 75 7 Brema E2.-i 


Q 
| 


0 Qe dH 0 già giz ?Bilin Biia 
0 = 0 Í En ge s.. i Bis 
于 是 ,m 的 码 字 是 : 
W = (mmm) G= (mm emmi m,) 


其 中 : 


L5 
ma = Mami j^ 0Lb2..n—l 
i=1 


453 其 他 公 钥 密码 系统 97 


gu £n gia gn 1 0 0 0 m; 0 
B12 B22 Bi ge 0 1 0 0 mz 0 
: i = |0 
Giwi Brna “Biwi Bista 0 p. xm 1 0 771n 一 1 0 
Bia E21 kd Si gia 0 Qo c 9 1 n, 0 
即 : 
Hr' 0 
JL 7i FEA PRRI A FE, H 称 为 校 验 矩 阵 。 
EJ B ARR HE RIE Pe f Oe s 


G= (l | An A= CagJ)oco «Ti 28 0 阶 方 阵 
H — (AT | I, a-0xs 
校 验 矩 阵 的 主要 用 途 是 纠 错 。 
设 r=W 十 e,e 表示 差错 : 
Hr” = HOV-F e) — HW" + He" = He” 
如 果 He"z-0.nT di He 看 出 错误 出 现在 第 几 位 上 ,予以 纠正 。 
1011 0 0 
1100 1 0|,r= 
0 1 10 6 1 


$5.6 已 知 H= 


由 于 : 


T 
` 
y 
SeA 
= o 
二 口 一 
o 口 一 
onmo 
-oo 
~ Oor- 
M 
a 


(0 1 DEE H 矩阵 中 的 第 2 列 , 所 以 可 判定 第 2 位 出 错 , 于 是 将 第 2 位 由 0 改 为 1， 
得 到 : 
W = 110101 

信息 位 是 110,110 就 是 正确 的 译 码 。 

由 以 上 的 译 码 过 程 还 可 以 得 到 定理 5. 3。 

定理 5.3 (n— D X n 的 校 验 和 矩 阵 能 正确 纠正 1 个 错误 的 充 要 条 件 是 OH 的 各 列 为 不 相 
同 的 非 零 列 向 量 。 

依据 此 定理 , 当 上 确定 以 后 n 应 取 2 一 1, 因 为 2 一 1 个 列 向 量 覆盖 所 有 的 非 零 状态 。 

例 5.7 当 k&=3 时 ,n= 二 2: 一 1=7,1==7 一 3 二 4, 此 时 : 
0 11 90 9 
1 iow 
1 [0-9 1 


P 4 
0 1 
1 0 
HUARO 0 0) ”以 外 的 所 有 状态 ,能 够 纠正 1 个 错误 。 对 应 的 生成 矩阵 为 : 


H = 
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=. o 
= > o 


I T 
0. 1 
1 0 


o o0 O m 
© 


0 » 1 LI E 
用 这 种 方法 构成 的 可 纠 一 个 错 的 码 称 为 (7,4) 汉 明码 (Hamming Code) 。 

汉 明 码 是 纠 一 位 差错 的 纠 错 码 , 它 的 每 一 位 差错 都 对 应 于 H 中 的 某 一 列 。 如 果 出 现 两 
位 差错 ,其 差错 对 应 于 相应 的 两 列 之 和 ,这 两 列 之 和 又 等 于 另外 的 某 一 列 , 故 无 法 实现 纠 错 。 

20 世纪 70 年 代 初 ,俄国 学 者 Goppa 系统 地 构造 出 了 一 类 有 理 分 式 码 : Goppa 码 。 
Goppa 码 的 主要 优点 是 它 的 某 些 子 类 能 逼近 香农 编码 理论 给 出 的 最 佳 性 能 。 

WO nq" L= (as aia, a) € — EE HE HERCLE PESE «a; € GF(gq") 且 对 任何 
iz-j 有 ai 关 Qj i jn. X GF) EH n 维 线性 空间 GF" Cp , 码 字 : 

C = €06,56, 25,6) € GF" Cq) 
则 与 C 对 应 的 GFC”) EA z 有 理 分 式 ， 
nl 
Re(z) = »» 2c. 
又 设 g(x) 是 系数 在 GF(g”") 上 的 7 次 = 多 项 式 , 它 的 根 不 在 位 置 集 L PAF n ERA: 
(C: Re(z) = 0 mod g(z), C € GF"(g)} 

称 为 由 g(x) 生 成 的 Goppa 码 , 用 (g(x),L) 表 示 ; Fk g GO J& Goppa 码 的 生成 多 项 式 或 
Goppa 多 项 式 。 若 g(x) 在 GF(g”") 上 既 约 , 则 工 (g(x) ,L) 称 为 既 约 Goppa 码 。 

由 定义 看 到 ,Goppa 码 T(g(z),L) 是 nn 维 线性 空间 中 ,满足 上 式 重 集合 ,显然 它 是 一 
个 线性 子 空间 ,因而 Goppa 码 是 一 个 线性 码 。 

位 置 集 和 既 约 多项式 的 选取 可 以 参考 以 下 的 例子 。 

例 5.8 设 a 满足 GF(2') 上 生成 多 项 式 x' 十 x 十 1 二 0, 可 得 a 的 模 指 数 表 ,如 表 5.4 所 示 。 

表 5.4 a 的 模 指数 运算 表 


1 0 0 0 1 
a 0 0 1 0 
a 0 1 0 0 
a? 1 0 0 0 
a* 0 0 1 1 
a 0 1 1 0 
a^ 1 1 0 0 
a 1 0 1 1 
a* 0 1 0 1 
a? 1 0 1 0 
a” 0 1 1 1 
a" 1 1 1 0 
a" 1 1 1 1 
a” 1 1 0 1 
a” 1 0 0 1 
0 0 0 0 0 


NC L— (0.1. a.c sa yat ya sa ya saè ya La? La! La? aa ,并 取 : 


g(z) = zt zd 
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显然 在 GEO) rh g(x) 是 既 约 的 ,依次 验证 可 知 工 中 不 存在 g(z) 的 根 。 于 是 ,可 由 工 和 
g(z) 生 成 Goppa 码 TT(g(z),L)。 
由 Goppa 码 的 定义 可 知 : 


Rw ĉi . = 0 mod g(z) 


该 式 还 可 以 写成 : 


Co 


) ^ |= H,C' = 0 mod g(z) 


Cn 一 1 
根据 前 面 校 验 矩阵 的 定义 ,Hi! 就 是 Goppa 码 的 校 验 矩阵 。 
例 5.9 已 知 a、L、g(z) 的 参数 与 前 面 的 例子 相同 , 求 Goppa 码 T(g(z),L) 的 校 验 
和 矩阵。 
解 : 将 志和 8g(z) 带 入 前 面 的 Goppa 码 Peg C), LOB Ec Sj erp os 


1 1 
€: (= z—1 "7 zoe) mod (7 +z+a’) 


可 用 欧 几 里 德 扩展 算法 求解 < 
表 5.5 < 一 @ 的 模 逆 运 算 结 果 表 


mod (z^ -z--a') ,其 结果 如 表 5.5 所 示 。 


l mod (E z--e?) — ga Go) - gi Co) 2 T s 
w 


z mod (2? +z +a’) — a? +a z 
a 


由 H1, CT —0 mod g(xz) 可 得 : 


(1 en C7 = 0 mod g(xz) 
giCGo) 

于 是 Goppa fj Peg Ce) L) ff] Ez 95 XB [Fe n] 53 VA FIER: 

golw) 
eco] 

将 go Co FIL gi(w) 的 具体 编码 带 入 可 得 : 
D00202012011201201202020 
001010100101000 1 
1000011090911 11 1 10 1 
1091110000011 11 1 1 

H-looo:1110111101]20191 
0010110101001 10 1 
bo ror op I o»P 9 3 Y Lo $$ 1 do 
1110011 1010010010 
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以 上 就 是 Goppa 码 FPCg(z) LO f Erg B [e 

Goppa 码 的 校 验 矩 阵 中 任 取 列 构成 的 矩阵 的 秩 为 > 且 该 矩阵 中 各 行 线性 无 关 , 任 意 > 
列 也 线性 无 关 。 由 线性 分 组 码 理论 可 知 , 由 Hi 或 也 矩阵 确定 的 Goppa 码 的 最 小 距离 

dwn 宇 r 十 1 

所 以 ,Goppa 码 的 纠 错 能 力 是 [r/2]( 不 超过 xr/2 的 正 整 数 )。 

1978 年 McEliece 用 Goppa 码 构造 了 一 类 公 钥 密码 体制 ,开辟 了 用 纠 错 码 构造 公 钥 密 
码 体制 的 先河 。 

McEliece 公 钥 密码 体制 : 在 GF(2 ) 上 随机 选取 一 个 1 次 既 约 多 项 式 g (zx), 由 g(x) 得 
到 一 个 码 长 2 一 2, 维 数 k >n tl 的 既 约 Goppa fid. 

设 G 是 二 元 Goppa 码 的 生成 矩阵 (kXn BO , 校 验 矩 阵 是 (2 一 A) X n BEBE H , 

随机 选取 一 个 GF(2') 上 的 &Xk Wrdk A SERIE S 及 n Xn 阶 置 换 和 矩阵 P, 计 算 
G'—SGP, 

将 G' 公 开 作 为 公 钥 ,S.G 和 PP 是 私 钥 。 

由 G' 代 表 的 码 字 与 由 G 代表 的 码 字 组 合 等 价 ,G' 代 表 的 是 一 般 的 线性 分 组 码 。 


加 密 算法 : 
将 明文 消息 m 分 为 长 是 & 的 位 串 , 用 公 钥 G' 计 算 密 文 向 量 : 
c — mG' +e 
这 里 ,e 是 比特 的 二 元 随机 误差 向 量 。 
解密 算法 : 


(1) HE y =P; 

(2) H yı =m +e smG=m , 译 码 求 得 mmo; 

(3) 计算 m—mS'. 

下 面 以 一 个 参数 较 小 的 例子 加 以 说 明 。 

例 5.10 已 知 <、L、g(z) 的 参数 与 前 面 的 例子 相同 , 囊 是 Goppa 码 PG GO « L) f Bz s 
和 矩阵。 

生成 矩阵 可 通过 前 面 例子 中 的 H oki: 


LO 00 0 0 0 0 Q nN 
1l 0 $9 01 1 9 2 O0 O 0 0 O0 O0 T 0 
1.9.0 lI: 1 T Ll.* 0..0 0-0 6 1 0-0 
G= 001 1110000001000 
0 1 1I 1010 0.00 I 9 O0 O 0 
0 107 0001 L0 0! 0 0 0 09.0 
0 1 b 2010 10. 1 00 0 0 9 O0 
Hu o ro 0 1 1909 1 Oo O 0 0. O9 09.03 


随机 选取 : 


101 
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gi 


0 0 0 


0 0 0 0 


00000 


000000 


000000 1 


LO 


选取 置换 矩阵 ， 


5 o Occ ccocococococococoooÓ4 e 
Ooooococococococooocoonuococo 
Oo O O OO oo00000 0n o o o 
oOooocococoocococooo-nocooococo 
cO cocco co cocoococococo-uccococooc 
Occo co ococoococcoccococococococ 
Occo co ocoocoocor-o0o0o0000o]o] 
cO Occo cocco. oo0oco0oo0o0o0o00oc] 
o O0 O O O Ow«o0oo000000 30 Oo 
Oo = 
O >o oom cococcccocococcococooc 
oO >o oOoOmooooooOoOOOOOOOO 
号 cocco. E = E = E = E — E = E — E = E E e oc 
Ono cc ocooccccccocococooco 
OOo c ococccccoccococococoocUo 
le cO Occo ocoocoocoocoocoocoococo oc a 

y 

A 


于 是 可 得 : 


0.949 


1 
1 


0 0 
ii 


1 
1 


0 
0 
000 


070. 060099 0 


1 


1 


将 G' 公 开 作为 公 钥 ,S.G 和 PP 是 私 钥 。 


已 知 明文 m 


0 


(1100100 1), 并 假设 : 
(0-0 9.0 0 0 0 


1 0 00 0 0 0 0) 


1 


e 


加 密 得 到 密 文 : 


0 0 0) 
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解密 时 先 计算 : 
cP*—109 91 10101 1109 0 D 
对 cP“ 进 行 快 速 译 码 得 : 
mo —(10001 11 0 
最 后 解 出 明文 : 
m-—mS-—.( i190 0 10 9 D 

利用 Goppa 码 构造 公 钥 算法 的 方法 可 以 推广 到 其 他 的 一 般 线 性 码 , 如 汉 明 码 和 BCH 
码 等 。 

下 面 以 (7,4) 汉 明码 为 例 ,进一步 说 明 McEliece 公 钥 算法 的 思路 。 

例 5.11 已 知 


1 00 0 1 I O 
MR E. 
0-0.7T 0 0 I 1 
0 0-40 1 0 $ à 
是 (7,4) 汉 明码 的 生成 矩阵 ,首先 选取 矩阵 ; 
j 2090.7 
1 0 0.1 
Sz 
9.3 P E 
1100 
并 选取 置换 矩阵 : 
0100000 
0 0 Q0 1 9 O0 O0 
0. 0 0 0 0 0 I 
P—-|1000000 
0010000 
000001 0 
0000100 
然后 ,可 得 公 钥 矩阵， 
i I I 1 9 0 9 
G-2spoll99100 
E 6 1 X3 9 14 
0.1 9. 1 T i 9 
接 下 来 对 明文 m= 1 0 1) 加密, 选取 误 差 向 量 e=(0,0.0.0.1.0.0) ,可 得 : 
c= mG' +e 
ij ic $09 0 
edid dede 1090100 o0o001009 
dj 9 9 1 t 9 \ 
9 2-0 X 1 1 Q 
= 110 1 rio) 
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解密 时 , 现 通过 c 计算 : 
0001000 
1000000 
0000100 
x»icP?^—(01 101 100100000 
000000 1 
000001 0 
0010000 


Sy 00 0 i f i 
于 是 ,根据 e 和 P 7 ' 可 得 到 : 
m =y +eP>=1 000110 


接 下 来 取 前 面 4 个 分 量 : 
m= 0 0 0) 
最 后 还 原 出 明文 : 
1 109 f 
bo 0 1 
m-—S!'m,-— «qa o0 0 0) 
0 1 1 Il 
1100 


—(110 1) 
以 上 两 个 例子 足以 说 明 ,McEliece 公 钥 密码 体制 并 非 只 能 使 用 Goppa 码 , 它 代表 的 是 
一 类 基于 线性 纠 错 码 的 公 钥 密码 体制 。 


5.3 NTRU 公 钥 密码 系统 


NTRU(Number Theory Research Unit) 公 钥 密 码 体制 是 在 20 世纪 90 年 代 中 期 ,由 美 
国 数学 家 Hoffstein 博士 首先 在 CRTPTO'96 会 议 上 提出 并 命名 的 。 很 快 NTRU 被 接受 
为 IEEE P1363 标准 ,并 被 标准 化 在 文档 Working Group for Standards In Public- 
KeyCryptography 中 。 

NTRU 是 一 种 在 截 尾 多 项 式 环 上 构造 的 密码 体制 ,其 安全 性 依赖 于 格 中 的 最 短 向 量 问 
题 CShortest Vector Problem. SVP), 

与 RSA 算法 相 比 ,NTRU 算法 具有 以 下 优势 : 

COD 速度 快 。NTRU 加 密 、 解 密 一 个 长 度 N 的 信息 分 组 需要 OCN?) 次 操作 ,而 RSA 需 
要 ONOKE., mE RSA 的 基本 运算 往往 是 上 千 位 的 求 模 指 数 ,而 NTRU 一 般 仅 是 小 
于 255 位 的 运算 ; 所 以 NTRU 的 运算 速度 相对 较 快 。 

D 系统 需求 低 。NTRU H RSA 在 处 理 器 能 力 和 硬件 资源 上 的 需求 要 小 ,并 且 更 易于 
用 硬件 实现 。 

G) 密 钥 生成 快 。NTRU 中 随机 选择 多 项 式 , 并 支持 将 长 密 钥 拆 成 小 块 ,提高 了 密 钥 
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NTRU 算法 的 这 些 特 点 使 其 在 嵌入 式 系统 中 应 用 广泛 。 
下 面 先 介绍 NTRU 公 钥 密码 体制 中 用 到 的 一 些 预备 知识 。 
定义 5.1( 环 ) ”有 两 个 二 元 运算 (分 别称 为 加 法 ,乘法 ) 的 代数 系 (A, 十 , X ) 称 为 一 个 
环 , 如 果 : 
OD (A, 十 ) 是 一 个 加 法 群 ; 
(2) (A, ) 是 一 个 乘法 半 群 ; 
(3) 乘法 对 于 加 法 的 左 、 右 分 配 率 都 成 立 , 即 : 
a(b4-c) = ab 4- ac 
(b o- 9a = ba + ca 


对 于 A 中 ,任意 a、b、c 均 成 立 。 
定义 5.2( 截 尾 多 项 式 环 ) 考虑 整 系数 N 一 1 次 多 项 式 : 
4-789, TaT T 


其 系数 (ao ,aa er ,an-1) 为 整数 ,所 有 这 样 的 多 项 式 构成 集合 R, 令 : 


N-1 


b = bs +bix +*+ byar 
在 R 中 定义 两 种 运算 : 
(D 加 法 运算 : 
a+b = (ao 十 bo) 十 (十 BZ 十 十 (ani 十 bn-1)z 
(2) 乘法 运算 ( 卷 积 ,Cyclic Convolution Product): 
a@b=etazt Henar 


a= Mj ab; k=0,1,.,N—1 


itj=k mod N 
ARAS ERIS xg 3C. R, HOH RI , 称 为 截 尾 多 项 式 环 (Truncated Polynomial Ring), 
例 5.12 iE N—3.a—2—x--3xr!.b—14-2x— x ,那么 ， 
Q& 十 0 一 3 十 工 十 2z2 
a Q b= 2-4 3r— z’ -- 735 — 32* 
—2-c3r—a*c-7—3xr 
一 9 一 好 
截 尾 多 项 式 环 也 可 以 用 多 项 式 商 环 来 定义 ， 
R= zLzj/(zx*—1) 


显然 ,二 者 是 一 致 的 。 
定义 5.3 it F-—[as.ai77ay à ])€ R.q€ Z.WJ: 
F mod q = Dila mod q)a* 

定义 5.4 设 FER,oEZ, 如 果 存在 GER, 使 得 : 

F®G = 1( mod q) 

称 G 与 开 互 道 ,G 是 下 的 逆 , 眉 也 是 G iu. 
例 5.13 N—7. q—11.f(G) —3-- 2x? —3a* - a5 ,f(z) 在 R 中 模 11 的 道 为 : 
fu(z)-—2-k4zr-2z!-FAz —Ax 2r —225 


这 是 因为 : 
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ffa (z) ——10-4F 22x 4- 222° — 222* (mod 11) = 1 
NTRU 公 钥 密码 算法 : 设 (R, 十 ,四 ) 是 N — 1 次 截 尾 多 项 式 环 , 首 先 选 取 的 参数 是 大 模 
数 a 和 小 模 数 户 。 
需要 说 明 的 是 有 限 域 GF(p) 上 的 元 素 取 自 区 间 ( 一 p/2,p/2j, 而 不 是 在 区 间 [0,p) 上 。 
(mod Pp) 的 运算 结果 也 必须 限制 在 区 间 ( 一 p/2,p/2j 上 ,而 不 是 在 区 间 L0,p) 上 ,同样 (mod q) 
的 运算 结果 也 限制 在 区 间 ( 一 g/2,g/2] 上 。 这 种 做 法 和 前 面 章节 中 的 做 法 明显 不 同 。 
一般 为 奇 素数 ,p 和 9g 要 求 互 素 。 
然后 选取 两 个 多 项 式 f 和 g .要求 f 在 环 R 上 有 模 p 和 模 g 的 逆 元 ,并 定义 : 
f: 是 多 项 式 f 在 环 R ER p 时 的 北 元 , 即 : 
fe Q f = 1(mod p) 
Sa: 是 多 项 式 f EWR 上 模 g 时 的 逆 元 , 即 : 
f, G f = 1Gnod q) 


确定 公 钥 是 
h = pf, sgCmod q) 
私 钥 是 上 和 8& 。 
明文 m€ Rm 的 系数 取 自 区 间 ( 一 p/2,p/2]。 
加 密 算法 : 


取 r€ Rer 的 系数 取 自 区 间 ( 一 p/2,p/2], 计 算 : 
e = rQ h+mlmod q) 
e 就 是 密 文 。 
解密 算法 : 
(1) 计算 : 
a — f Qe mod q 
其 中 ,a 的 系数 取 自 区 间 ( 一 /2,q/2]。 
(2) HH: 
b = a mod p 
其 中 ,6 的 系数 取 自 区 间 ( 一 p/2,p/2]。 
(3) HH: 
c = f, Qb mod p 
其 中 ,ce 的 系数 取 自 区 间 ( 一 p/2,p/2]。 于 是 可 得 : 
c=m 


例 5.14 设 N=11,p 二 3,g 二 32, 显 然 p 是 素数 , 且 p iq 互 素 。 


取 : 
ss i .te Bin Be 
g ——1Eat a x —ax —x 
根据 欧 几 里 德 扩展 算法 可 求 出 : 


et 1-L-2x-F2a5-LF2z* Fa*-EF2z* 4-25 L-23* 
fj? —5-9z4-62z 4-162? 4- 42* + 1525 +H 16a -- 22a --202* -I- 182* -- 302" 
A48. 
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h= pf, C) g(mod q) 
8 4- 25x 4- 22z* 十 20z -- 12x* -- 2425 4- 15z* 4- 192" 4- 12z* 4- 192? +162” 


已 知 明文 : 


m 14-2)—2a*—2a*4-a* 4-4" 


加 密 时 , 先 取 : 


然后 计算 出 密 文 : 
e= r (X) h 4- mGnod 32) 
= 14+ llr 4- 262* 4- 24x? 十 14zt 4- 1635 4- 3025 十 7z7 4- 2525 2-62? +192" 
解密 时 , 先 计算 : 
a= f (X) e(mod 32) 
3—7z — 10z* — 11z? 十 10z 十 7z5 十 6zs 十 7z7 十 5zs — 32 — 73? 


然后 计算 : 
b= a mod 3 
== n Ja -Ja*Ha*oa!—a—a 
最 后 计算 出 明文 : 
c — f, (X) b mod 3 
(E 2x 4-22? J-22* H- z^ E22 Ea? 4-22?) 
Q C^ x — r ^E x? +a Ha? Ha — a — x" )mod 3 
bda*—a*—2a54a* utt 
解密 成 功 。 


根据 以 上 步骤 不 难得 到 NTRU 公 钥 算法 的 工作 原理 : 
a= f (X) e(mod q) 
= f & Cf C) h 4- m) Cómod q) 
= f & GC) bf, C) g 4- m) Cmod q) 
= pr Q g +f O mGnod q) 
于 是 : 
fo C) a(mod 5) — f, ®© br C) g+ f, C) f C) mCmod p) 
= m(mod p) 


5.4 概率 公 钥 密码 系统 


S. Goldwasser 和 S. Micali 于 1984 年 首次 提出 了 概率 公 钥 密码 体制 的 概念 。 不 同 于 其 
他 的 公 钥 密码 体制 ,Goldwasser-Micali 概率 公 钥 密码 体制 是 一 种 一 次 一 密 的 公开 密 钥 体 
制 ,具有 极 好 的 安全 性 。 尽 管 该 体制 并 不 实用 ,但 一 经 提出 便 倍 受 密码 学 界 的 关注 。 

1986 年 ,M. Blum 和 S. Goldwasser 在 此 基础 上 ,又 提出 了 Blum-Goldwasser 概率 公 钥 
密码 体制 ,使 概率 公 钥 密码 体制 的 实用 性 显著 增强 。 

Blum-Goldwasser 概率 公 钥 密码 体制 的 基本 原理 : 首先 利用 BBS 随机 序列 生成 器 产生 
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密 钥 流 , 然 后 采用 流 密码 技术 对 明文 加 密 , 最 后 使 用 公 钥 密码 方法 ,并 结合 中 国 剩余 定理 传 
递 BBS 的 密 钥 种 子 。 
下 面 先 介绍 BBS 随机 序列 生成 器 的 工作 原理 。 
Blum-Blum-Shub(BBS) 随 机 序列 发 生 器 : VE n= pq: p.a 是 两 个 R/2 位 的 素数 ,满足 : 
P =q = 3 mod 4 
id QR G0 XR n 的 平方 剩余 ,种子 oÆ QR(n) 中 的 一 个 元 素 。 
对 于 IKK EX: 
Sia = $ mod n 
产生 的 随机 序列 为 : 
f(s50) = (zzz，2) 
H sz: =s; mod 2。 
上 了 称 为 Blum-Blum-Shub 随机 序列 发 生 器 ,简称 BBS 随机 序列 发 生 器 。 
例 5.15 iL n=503 X607 =305 321,% 王 123 456? mod 305 321 =64 937, 以 下 是 BBS fifi 
机 序列 的 产生 过 程 : 


54725638 z,—0 
s2 = 256252 z: =0 
5. = 5355 z; =1 
sı = 281 172 zn =0 
ss = 11091 xs 一 1 
se = 271 239 zę = 
sı = 141 640 z, = 
s — 162653 u= 
S = 239080 z; = 
Sio = 101 990 zwo =0 
= 284272 zn —0 
s2 = 39630 z2 =0 
= 270 997 z; 一 1 
su = 208 558 zu =0 
55 = 104 383 z 一】 
sis = 125483 zę =1 
S = 273998 z; =0 
5s = 133 956 zu =0 
519 = 189 445 z9 一 1 
于 是 ,由 BBS 随机 序列 发 生 器 产生 的 随机 序列 是 : 

f(s0) = *0010110100001011001" 

Blum-Gold wasser 概率 公 钥 系统 : n= pq. p.q 满足 : 
p =q = 3 mod 4 

明文 空间 : P=27 


108 计算 机 安全 与 保密 


密 文 空间 : C-ZERXZ; 
a. K={(n,p,q):n= pq) 
其 中 ,n 为 公 钥 ,p 和 9g 为 私 钥 。 
Bj XC r 用 (zi ,xs，… ,Xm XI. 
加 密 算法 : 
利用 种 子 rEZ, ,通过 BBS 随机 序列 发 生 器 产生 随机 序列 zi zo sEm o 
计算 : 
Seu = mod n 
z; = s; mod 2 
对 于 1 过 i 过 m, 计 算 : 
yi = (zz) mod 2 
序列 y— Oni ya，… Ym ssm+1) 就 是 密 文 。 


解密 算法 : 
计算 : 
a 一 (232) moaco - D 
az 一 (LH Y" modta — 1) 
然后 计算 ， 


b, = smod p 

bz = s+ mod q 
根据 中 国 剩余 定理 计算 出 so ,使 得 : 

fe = bı mod p 


so = b: mod q 

由 = 一 通过 BBS 随机 序列 发 生 器 产生 序列 = 、zs 、… mo 

对 于 1<i<m 计算 : 

x; = (yi 二 +zi)mod 2 

于 是 得 到 明文 + 三 (zi,T2 tems 

例 5.16 Ñ n—719:X839—603 241 sə =545 601? mod 603 241—321 413.:—20 类 似 于 
例 5. 15 的 随机 序列 产生 方法 ,产生 随机 序列 : 

z = “1110 1001 0110 1000 1100" 


已 知 明文 : 
x = “1001 1010 1101 0010 0011” 
于 是 得 到 密 文 : 
y — "0111 0011 1011 1010 1111" 
FH RESI: 
sn = 463 488 
解密 时 , 先 计算 : 


(p+1)/4= (719 +1)/4 = 180 
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(g++ D/4 一 (839 十 1)/4 = 210 


a= (p+ D/AY! mod (9 — D 
= 180” mod 718 
= 510 
a= ((q+1)/4)” mod (q— 1) 
= 210” mod 838 


接 下 来 


= 463 488^ mod 719 
= 20 
bz 


sj mod q 
463 488”? mod 839 
= 76 


求解 同 余 方程 组 : 
r = 20 mod 719 
r — 76 mod 839 
可 得 : 
r= 321413 
有 了 种 子 r 后 ,通过 BBS 随机 序列 生成 器 生成 : 
z = “1110 1001 0110 1000 1100" 


再 与 密 文 ， 

y — "0111 0011 1011 1010 1111" 
异 或 ,得 到 明文 ， 

x = “1001 1010 1101 0010 0011" 
解密 成 功 。 


5.5 J 题 


1. 求解 问题 : 如何 产生 总 额 为 173. 68 元 的 钱币 ,要 求 钱币 由 1 分 .2 分 .5 分 .1 角 、 
2 ffi .5 角 、1 元 .2 元 .5 元 ,10 元 .20 元 50 元 .100 元 等 币 种 组 合 而 成 ,但 每 个 币 种 的 钱币 只 
能 使 用 1 次 。 


2. 求解 背包 问题 : by xis: =z, 4P n=9,z=586, 
i=1 
s = (sp. sott. 59) = (2,4,8.16.32.64.128.256.512) 


3. 用 上 题 的 背包 问题 构造 一 个 背包 公 钥 系统 。 
4. 使 用 MH 背包 公 钥 密码 算法 对 信息 m —110101010 进行 加 密 ,MH 背包 公 钥 体制 的 
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参数 是 p—811.a—53,:— (53,106,212,424,37,74,148,296,592) ,5— (1,2,4,8,16,32, 


64.128 
5. 


:256), 


使 用 MH 背包 公 钥 密码 算法 对 密 文 0— 1082 进行 解密 ,MH 背包 公 钥 体制 的 参数 是 


577919.a—31.1:—(31.62.124.248.496.,73.146.292, 584) .5— (1.2.4.8.16. 32.64.128. 


256), 


. B® m 100101110111 , 求 该 消息 的 Hamming 重量 。 


已 知 m, 100101110111. —111110101100.2K m, 与 m; 的 Hamming 距离 。 


. 求 0101 按 偶 校 验 配 置 的 汉 明 码 。 

. 说 明 按 偶 校 验 配 置 的 汉 明 码 0101101 的 纠 错过 程 。 

. 试 写 出 剩余 类 环 Zs 中 的 所 有 零 因子 和 可 道 元 。 

. 设 尺 是 有 限 可 交换 环 且 含有 单位 元 ,证 明 : R 中 的 非 零 元 不 是 可 道 元 就 是 零 因 子 。 
. 设 a 满足 GF(2*) 上 生成 多 项 式 x 十 x 十 1 二 0, 可 得 a” fla", 

. BA N=7,.p=32,q=11, f (x) —1-- 2a? — 3a* --3a* oK fx) dE R PR p 和 gq 


. 设 n—503X 607 —305 321 , so —2468* mod n—289 925 .;K BBS 伪 随 机 序列 。 


Son 数字 签名 


日 常生 活 中 的 很 多 场合 需要 签名 ,如 批复 文件 、 签 订 合同 \ 信 用 卡 消费 等 ,手写 签名 是 一 
种 有 效 的 证 明 签发 者 身份 的 手段 。 

传统 的 手写 签名 通常 具备 这 样 一 些 性 质 : 

CD. 其 他 人 很 难 伪 造 签名 ; 

(2) 签名 能 够 被 验证 ; 

(3) 签名 者 事后 不 能 和 否认 自己 的 签名 。 

随 着 密码 学 的 发 展 ,尤其 是 公 钥 密码 体制 的 发 展 ,研究 者 发 现 : 签名 的 这 些 性 质 完 全 可 
以 通过 数字 方式 来 实现 。 带 有 数字 签名 的 消息 在 网 络 上 传播 ,标识 着 签名 者 的 身份 ,服务 于 
电子 商务 .电子 政务 和 网 上 银行 等 系统 。 


6.1 数字 签名 方案 


虽然 签名 的 目的 相同 ,但 数字 签名 和 传统 签名 还 是 有 一 些 不 同 之 处 。 

传统 签名 是 消息 的 一 部 分 ,被 签名 的 文件 和 签名 是 不 应 分 割 的 ,而 数字 签名 与 消息 是 独 
立 的 ,可 以 将 数字 签名 与 消息 绑 定 在 一 起 发 送 或 传输 ,也 可 以 分 开发 送 或 传输 。 

传统 签名 的 验证 往往 需要 与 已 知 的 另 一 份 签名 进行 比较 来 实现 ,而 数字 签名 的 验证 仅 
通过 验证 算法 就 可 以 实现 。 正 是 因为 传统 签名 的 验证 需要 一 些 历史 信息 ,所 以 能 够 对 某 一 
个 传统 签名 进行 验证 的 验证 者 往往 需要 较 强 的 专业 技能 ,因此 验证 者 的 群体 是 一 个 很 小 的 
群体 ; 而 数字 签名 的 验证 者 范围 要 大 得 多 ,只 要 能 实现 验证 算法 就 能 够 实现 对 数字 签名 的 

传统 签名 是 不 容易 复制 的 ,因为 对 传统 签名 的 简单 复制 与 签名 原件 总 有 区 别 ; 而 数字 
签名 的 复制 不 受 限制 ,而 且 还 可 以 很 方便 地 存储 、 复 制 和 分 发 。 

下 面 先 从 数字 签名 方案 的 基本 概念 谈 起 。 


6.1.1 数字 签名 方案 的 定义 


数字 签名 方案 由 {P,A,K,S,V} 组 成 ,并 满足 : 

Q) PP 为 可 能 消息 的 有 限 集 。 

(2) A 为 可 能 签名 的 有 限 集 。 

G) K 为 可 能 密 钥 的 有 限 集 。 

OD 对 于 每 一 个 AE 开 ,存在 签名 算法 sig, € S 和 验证 算法 ver, € V: 
sig: P> A 
ver,(x,y) : PX A— {true, false} 
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[true, y= sig(z) 
uryGr.y) = 


ae y Æ sg) 
显然 ,对 称 密码 体制 下 的 加 密 算法 就 是 一 个 签名 算法 ,加密 算法 或 解密 算法 可 用 作 相 应 
的 验证 算法 。 对 称 密码 体制 一 般 仅 用 于 协议 双方 之 间 的 签名 验证 。 
假设 消息 ( 即 明文 ) 为 +,A、B 之 间 的 共享 密 钥 是 ,将 消息 x 加 密 得 到 密 文 y: 
ysig, (x) = E(x) 
将 y 作为 消息 z 的 签名 ,验证 时 ,可 用 加 密 算法 : 
E(x)=y 
或 解密 算法 : 
Di(y)=x 
来 验证 签名 的 有 效 性 : 


ver(x,y)=trueSE, Cr) = yD, (y) =x 
当然 ,这 里 的 签名 算法 可 以 是 对 称 密码 体制 ,也 可 以 是 公 钥 密码 体制 。 
考虑 到 维护 密 钥 通道 的 开销 较 大 ,相对 来 说 , 公 钥 密码 体制 更 适合 用 作 数 字 签 名 。 但 
是 ,与 对 称 密码 体制 用 作 数 字 签 名 不 同 , 公 钥 密码 体制 用 私 钥 进 行 签名 ,用 公 钥 进行 验证 。 


6.1.2 RSA 签名 方案 


下 面 先 介绍 一 种 简单 的 基于 RSA 的 公 钥 数字 签名 方案 。 
RSA 签名 方案 : $ n— pq. p 和 g ERKA PASZ, ENX: 
K = {(n,p.q,a,b):ab 1(mod gGD)) 
其 中 ,nb 是 公 钥 ,p、gva 是 私 钥 , 签 名 算法 和 验证 算法 如 下 : 
sig, Cr) = x*Gnod n) 
ver, Cr» y) = truer = y’ (mod iD (x,y € Z,) 
RSA 的 签名 方案 和 RSA 的 密码 算法 非常 相似 ,不 同 的 是 签名 算法 用 的 是 私 钥 , 验 证 算 
法 用 的 是 公 钥 ,这样 能 够 保证 持 有 公 钥 的 所 有 参与 者 都 能 够 对 签名 进行 验证 。 
例 6.1 在 RSA 签 名 方案 中 , 取 p—251.9— 503. W]: 
n= 251 X 503 = 126 253 
gn) = 250 X 502 = 125 500 
Hx 0—2957 . ll ; 
a = 2957 ! mod 125 500 = 5093 
Hp n.o EAH, paga 是 私 钥 , 对 xz 二 5601 进行 签名 : 
sig, Cx) = 5601 mod 126 253 = 5093 
对 (5601,5093) 进 行 验证 : 
ver,Cr.y) 一 true 全 5601 = 5093*5' mod 126 253 
于 是 ,(5601,5093) 是 有 效 的 RSA 签名 。 
接 下 来 ,对 另 一 组 签名 (2005,2006) 进 行 验证 。 由 于 : 
ver, Gr. y) = false&2006° mod 126 253 = 23 717 Æ 2005 
这 说 明 (2005,2006) 不 是 有 效 的 RSA 签名 。 
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公 钥 是 公开 的 ,因此 如 果 获 得 公 钥 就 可 以 验证 签名 。 只 要 没有 私 钥 ,就 无 法 伪造 出 有 效 
签名 。 通 过 公 钥 去 破解 私 钥 ,等 同 与 大 数 因 式 分 解难 题 , 所 以 RSA 签名 的 安全 性 同样 是 建 


立 在 大 数 因 式 分 解难 题 基础 之 上 。 


6.2 ElGamal 签名 方案 与 DSA 


通过 其 他 的 NP 完全 问题 同样 可 以 构造 出 签名 方案 ,下 面 的 ElGamal 签名 方案 就 是 基 


于 离散 对 数 问 题 的 签名 方案 。 


ElGamal 签名 方案 : it p 是 素数 ,a€ Z; 为 生成 元 ,P 二 2Z; .A—Z; XZ,a. 


密 钥 空间 : 
K = {(p,a,B'a):B = a* (mod 5); 
其 中 ,p\a.8 是 公 钥 ,a 是 私 钥 , 对 于 随机 选取 的 (€ Z7 ,设计 签名 算法 为 : 
sgk(Czot) = Cy.0) 
其 中 : 
Y = a' mod p 
à = Gr— ay) t! mod(p — 1) 
验证 算法 为 : 
werCr.y.0) = truec2f"y? = a (mod p) 
其 中 ,zx,YE zZ; ,6E€ Zs-1。 
验证 过 程 如 下 : 
B" y! (mod p) 
= (a*)* (at)? (mod p) 
= q"'" (mod p) CH à = Cr — ay) t? modC p — D RA) 
= a (mod p) 


906.2 在 ElGamal 签名 方案 中 , 设 p=1999,a=13,8=103,a =200,k 


103,200] ,需要 签名 的 消息 为 : 
x = 999 
不 妨 取 :一 191, 则 ， 
y = 13"! mod 1999 = 1476 
6 = (999 — 200 X 1476) X 191! mod 1998 = 1305 
ElGamal 签名 为 : 
SSgkCzot) 一 (1476.1305) 


对 签名 进行 验证 : 
wer(999,1476,1305) = true 
这 是 因为 : 
103'^5 x 1476% = 13% (mod 1999) 
如 果 有 错误 签名 : 


sig, Gr) = (1477,1306) 


(1999,13. 
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对 签名 进行 验证 ,可 得 : 
zer(999,1477,1306) = false 


103" x 1477** = 1737 Æ 13% (mod 1999) 
离散 对 数 问题 的 难 解 保 证 了 ElGamal 的 安全 性 ,但 也 存在 着 伪造 签名 的 方法 。 
下 面 的 方法 能 够 绕 过 求解 离散 对 数 问题 ,而 直接 构造 出 一 组 有 效 签名 。 
设 oscip—2,.0-j«p—2 Hii: 
ged(j. 5—D — 1 
通过 以 下 办 法 计算 y 9s: 
Y 一 apmod p 
à —— yj^mod(p— D 
x —— yij mod(p — 1) 
六 1!mod(p 一 1) 是 存在 的 ,因为 j 与 p 一 1 互 素 。 
对 签名 (zx,y,60) 进 行 验证 : 
gr 
= p? Capi NEP (mod p) 


pi? a dr god (mod p) 
= a (mod p) 
= ai" (mod p) 
= a7 (mod p) 
说 明 签名 (x,Y,6) 能 够 通过 验证 。 
例 6.3 ElGamal 签名 方案 中 , 设 p=1999,a=13,8=103,a=200,k= {1999,13,103, 
200), 取 i=109,j 二 199, 则 : 
y = 13'* x 103'? mod 1999 = 1476 
6 —— 1476 X 199 mod 1998 = 1305 
x —— 1476 X 109 x 199^ mod 1998 = 999 


伪造 的 签名 为 ， 
sig, (999) = (1476,1305) 
对 签名 进行 验证 ， 
ur(999.,1476,1305) = true 
ER 29 10375 X 147675 —13*9? (mod 1999), 
另外 一 种 伪造 签名 基于 已 知 一 组 有 效 签 名 (y,6,z), 设 : 
Oxhszp—2, Oxixcp—2, Oxjs«p-—?2 
并 且 满 足 : 
gcd(hy — jó.p—1) — 1 
计算 出 : 
à = YaBimodp (6.1) 
u = ò (hy — j8) mod (p— 1) (6.2) 
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x! = àA (hx + id) (y — j6) ? mod (p — 1) (6.3) 
(hy 一 j6)-!'mod(p 一 1) 是 存在 的 ,因为 hy 一 j6 与 p 一 1 HE. 
XH Qua ) 进 行 验证 ,可 得 : 
BA" = a” (mod p) (6. 4) 
下 面 进行 简单 的 证 明 。 
根据 式 (6.1) 可 得 : 
À= a"'a'a* (mod p) 
(6.5) 


= a" titi (mod p) 
TEX C6. 5) p= a" (mod. p) 代 入 式 (6.4) 得 : 
g^ o 0*9?» 一 a’ (mod p) 

等 价 于 : 

Aa d- Cit -- i d- aj) p = zx (mod p — DD 
将 式 (6.2) 和 式 (6.3) 代 入 下 式 ， 

àa + Gt -- i -- aj)g — x! (mod p — 1) 
可 得 ， 


àa + Chit -- id- aj) — z’ (mod p — DD 
Ala + Cut 4- i d- aj 98 Chy — jë) — Chx 4- i8) (hy — j) ](mod p — D 
ALa + Cut + ajó — hx) (hy —j) ]|jmod p — 1) 
Ala d- [hd — x) d- ajó ] (hy — jô) ) mod p — 1) 
由 9— Gr—ay)t ! modCp— fg ; 
x— t = ay (mod p) 
àa dr (Out +i+aj)y r'(mod p —1) 
Ala +[— ahy 4- aj8 ] (hy — j)’ ) (mod p — D 
Ala — a[hy — jë] (hy — jò) } (mod p — D 
= 0(mod p — 1) 


命题 得 证 。 
例 6.4 ElGamal 签名 方案 中 : 设 p—4079.a— 13.8—1621.a —200, 
已 知 密 钥 : 


k = {4079,13,1621,200} 


已 知 一 组 有 效 签名 : 
(7,6,7) = (2429,4005, 999) 
取 : 
h — 888. i=129, j=555 
满足 条 件 : 
gcd(888 X 2429 — 555 X 4005 ,4078) 
= gcd(3503,4078) 
一 1 
则 有 : 


à= 2429 x 13'” x 1621? mod 4079 = 2940 
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u= 4005 X 2940 X (888 X 2429 — 555 X 4005) :mod 4078 
— 4005 X 2940 X 1539 mod 4078 
= 1508 
x’ = 2940 X (888 X 999 + 129 X 4005) (888 X 2429 — 555 X 4005)! mod 4078 
— 2940 x 925 X 1539 mod 4078 
— 2008 
伪造 的 签名 为 : 
SSgk(2008) = (2940.1508) 
对 签名 进行 验证 : 
ver (2008,2940,1508) = true 
这 是 因为 : 
1621% x 2940 5 (mod 4079) = 2343 
13*? (mod 4079) = 2343 
虽然 以 上 的 两 种 伪造 ElGamal 签名 都 能 通过 验证 ,但 是 这 两 种 伪造 并 不 会 对 ElGamal 
签名 算法 本 身 造成 实质 的 威胁 ,因为 这 两 种 伪造 都 只 能 产生 特殊 的 签名 ,而 不 能 对 任意 的 x 
计算 出 签名 。 
相对 而 言 , 对 ElGamal 数字 签名 方案 的 不 当 使 用 却 是 更 危险 的 情形 。 
例如 ,t 作为 方案 中 的 一 个 重要 参数 不 能 暴露 。 如 果 1 暴露 了 ,那么 由 
à — Gr — ay) t mod(p—1) 
可 得 : 
a = Gr —100y "mod(p— 1) 
于 是 a 被 求 出 ,a 的 求 出 将 导致 整个 ElGamal 签名 算法 被 破解 。 
例 6.5 ElGamal 签名 方案 中 , 设 p=2039.a=13.8=1428. p a B EAF H, a=211 是 
保密 的 。 
i Bou: 
x = 819 
签名 为 : 
(Y,6) = (647.420) 
如 果 攻 击 者 知道 1167 ,那么 就 可 以 算出 a 的 值 : 
a= (819 — 167 X 420) X 647^! mod(2039 — 1) 
— 2009 x 63 mod 2038 
= 21 
又 如 ,在 两 次 数字 签名 中 使 用 相同 的 t 也 是 很 危险 的 。 如 果 出 现 这 种 情况 ,那么 设 : 
B'y^ = a^ (mod p) 
B'y* = a^: (mod p) 
于 是 ， 
gh 7? m gU) (mod p) 
xı — x: = t(à; — à) ) (mod p — 1) (6.6) 
不 妨 设 d= 二 gcd(6; —0ip— 1) ,显然 d 同时 满足 : 
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d| -D 
d | (à —à) 
d | n — x2) 


d 


zr! = (n —3x)/d 
à = (à — à) /d 
p'=(p—1)/d 
式 (6.5) 可 转化 为 : 
x’ = tó' (mod p^) 
t= x! (0) (mod p^) 
(3) ^! Cmod p ) 是 存在 的 ,因为 gcd(6 sp) =l, 
TÉ: 
t= x'(' ) ! c ip' (mod p) 
其 中 ,0<i<d 一 1。 虽 然 这 样 求 出 的 是 d 组 可 能 的 结果 ,但 可 以 通过 验证 : 
y = a'mod p 
来 得 到 最 终 的 1 值 。 
例 6.6 ElGamal 签名 方案 中 : 设 p—1009,a—13.8— 635.a 未 知 ,已 知 两 个 签名 分 
别 为 : 
(y«0; 1) = (388,833,999) 
(388,323,501) 


(7Y,6z 22) 

即 H 

635755 x 388 = 139" mod 1009 

63555 x 3887? = 13%" mod 1009 
FE: 

1399501 = 1332389 mod 1009 

498 = 498t mod 1008 

不 妨 设 : 
d = gcd(498,1008) = 6 


d 


zx’ = 498/6 = 83 
à' = 498/6 = 83 
p’ = 1008/6 = 168 
于 是 ， 
83 = 83t mod 168 
to = 83 X 83! mod 168 = 1 
t 的 表达 式 为 : 
t = te + ip'mod 1009 = 1+ 83i mod 1009 
t 的 候选 结果 为 : 
五 二 1 十 83X1mod1009 一 84 mod 1009 = 84 
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ts = 14- 83 X 2 mod 1009 = 167 mod 1009 = 167 
ts = 1 +83 X 3 mod 1009 = 250 mod 1009 = 250 
t4 = 14- 83 X 4 mod 1009 = 333 mod 1009 = 333 
ts = 14-83 X 5 mod 1009 = 416 mod 1009 = 416 
ts = 1 +83 X 6 mod 1009 = 449 mod 1009 = 449 
在 6 个 候选 的 上 中 进行 筛选 ,其 中 167 符合 要 求 ,因为 : 
13 = 388 mod 1009 
XE] NIST 于 1991 年 8 月 提出 了 数字 签名 标准 (Digital Signature Standard. DSS) ,该 
标准 中 的 数字 签名 算法 DSA(Digital Signature Algorithm) 由 D. W. Kravitz 设计 。 
DSA 是 Schnorr 和 ElGamal 签名 算法 的 变种 ,同样 也 是 建立 在 离散 对 数 问题 之 上 的 。 
DSA 签名 算法 : 设 p EL 位 的 素数 ( 工 介 于 512 和 1024 之 间 , 同 时 又 是 64 的 倍数 ) ,2。 
上 的 离散 对 数 问题 是 一 个 难 解 问题 ,dg 是 一 个 160 位 的 素数 , 且 满足 : 
al'(p= 1 


取 g 阶 元 aE€ Z; ,满足 : 
a' = ] mod p 
消息 空间 和 签名 空间 分 别 为 : 
P=2Z;, A-Z;XZ; 
定义 密 钥 : 
K={(p,qraBra) :B= a (mod p)} 

HP, pqa pA a EAH Oal., 

取 随 机 数 0q 1l. 


签名 算法 : 
sigy rt) = Cy.0) 
其 中 ， 
Y = (a'mod p)mod q 
à = (SHA (x) +ay)f ! mod q 
验证 算法 : 
ver (x,y) = true (a^ g* mod p) mod q = y 
Hp: 


el = SHA (x) ' mod q 
ez = y mod q 
算法 中 的 消息 工 一 般 以 二 进 制 串 的 方式 编码 。SHA 是 SHA-1 算法 ,SHA-1 算法 是 一 种 
Hash 函数 ,关于 Hash 函数 将 在 第 7 章 介绍 ,此 处 可 以 把 Hash 函数 理解 成 一 种 压缩 算法 。 


6.3 ECDSA 


基于 椭圆 曲线 上 的 离散 对 数 问 题 也 能 构造 出 高 效 的 数字 签名 算法 ,而 且 近 年 来 椭圆 曲 
线 数字 签名 算法 ECDSA 逐渐 成 为 主流 。 
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椭圆 曲线 数字 签名 算法 ECDSA: 已 知 椭圆 曲线 
y? = aj +ar+b(mod p) 
定义 在 Z, E>3) , BENA dadn D , 设 G 是 生成 元 。 
Q=G 
其 中 ,Q 是 公 钥 ,d 是 私 钥 。 设 消息 为 m, ECDSA 签名 算法 如 下 : 
CD 随机 选择 整数 k,1<k<n 一 1。 
(2) 计算 出 : 
G —(n;y) 
(4: 
r — r, mod n 
(4) 计算 出 m 的 消息 摘要 SHA-1(m) 并 将 它 转 化 成 一 个 整数 e。 数 字 摘 要 将 在 7. 1 节 
中 介绍 ,可 以 先 将 SHA-1(m) 理 解 成 一 个 普通 函数 , 它 将 消息 m 变换 成 一 个 有 限 长 度 的 串 。 
(5) 计算 : 
s=k (et+dr) mod n 
(6) (r,s) 就 是 消息 m 的 签名 。 
对 于 消息 m 和 签名 (r,s) ,相应 的 验证 算法 如 下 : 
CD 先 验 证 r M s 是 否 满足 : 
1<r<n—l, ls<n—!1 
(2) 计算 m 的 消息 摘要 SHA-1(m) ,并 将 它 转化 成 一 个 证 书 es 


(3) 计算 出 : 
w= s! mod n 
ui; = ew mod n 
us — rw mod n 
(4) dt: 
X—G^Q^" = n. y) 
O i8 


v = x, mod n 
(6) 得 出 结论 : 
wrim.r,s) = truev =r 


下 面 对 ECDSA 算法 进行 简单 的 验证 : 


因为 : 
s—k Ce dr) mod n 
所 以 : 
k= s'(e+dr) mod n 
= sle-Es!dr mod n 
= we + wdr mod n 
= (u, d- usd) mod n 
于 是 根据 椭圆 曲线 的 运算 定义 有 : 


GQ" = Ga G^: = Gut 一 Gt 
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如 果 x 和 是 真实 签名 , 则 : 
v=r = rmodn 

Hebe: 

X-—(nim)-—GhQ'* —G* 
反之 亦 然 , 证 毕 。 

例 6.7 定义 在 有 限 域 上 的 椭圆 曲线 : 

E: y! = x? -- 8x +10 mod 23 

取 生 成 元 G— (07.8) , 它 的 阶 为 zx 一 21, 取 整数 d 二 11, 计 算 公 钥 : 
Q= (7,8)™" = 065) 

将 mm 的 消息 摘要 SHA-1(m) 转 化 成 一 个 整数 (忽略 数字 摘要 的 过 程 ) ,不 妨 设 


e — 20 
实施 ECDSA 签名 算法 : 
k=5 
G* — (7,8) = (19,12) 
r=19 


s = k’ (e+dr) = 5™°(20 +11 X 19) mod 21 = 8 
得 到 消息 m 的 签名 (19,8) ,下 面 对 消 息 m 和 签名 (19,8) 进 行 验证 : 
w = 8! mod 21 = 8 
uj = 20 X 8 mod 21 = 13 
uz = 19X 8 mod 21 = 5 
X = G^ Q^* = (7,8)5(16,5)* = (19,12) 
v=19 
因为 v=r, 所 以 该 签名 是 有 效 签名 。 对 非法 签名 (17,13) 进 行 验 证 : 
w= 13^! mod 21 = 13 
uj = 20X 13 mod 21 = 8 
us = 17 X 13 mod 21 = 11 
X = Ga Qe = (7,8)*(16,5)! = (22,22) 
v= 22 
因为 vár, MIRAT 130 JE IL, m 的 有 效 签名 。 


6.4 一 次 签名 方案 


与 前 面 的 常规 签名 方案 相 比 ,一 次 签名 是 一 类 特殊 的 签名 。 这 一 类 签名 对 于 一 条 消息 
签名 时 ,具有 很 高 的 安全 性 ,但 是 对 于 多 条 消息 签名 时 就 不 安全 了 。 

之 所 以 称 一 次 签名 方案 是 一 类 签名 ,是 因为 一 次 签名 可 以 通过 任意 的 单 向 函数 来 构造 。 
下 面 的 Lamport 签名 是 1979 年 提出 的 最 早 的 一 次 签名 方案 。 

Lamport 签名 方案 :& ER P— (0.1)*. f£ : Y—Z 是 单 向 函数 , 令 A—Y* ,yi,; € Y Bit 
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机 选取 (1 二 i 有 ,j 二 0,1) , 设 z€ f Gu) (ixh.j—0.). BH K kE 2k A y HI 28 
xz。 其 中 ,y 是 私 钥 ,= EAH. 


签名 算法 : 
sigk Gri in) = (Yi stie? 
验证 算法 : 
verg (X19 rod) s**t sa) = trues f la) = Pi, 
其 中 ,1<i<k。 


例 6.8 Lamport 签名 方案 中 : p—7177.a— 7 是 生成 元 。 
选取 6 个 随机 数 构成 私 钥 y: 


283 3421 
5148 3237 


y= 


2153 er 


公 钥 < 通过 定义 的 单 向 函数 : 
f(x) = T* mod 7177 


RS. 
4613 3819 
z= |4565 2881 
1499 5704 

密 钥 : 


其 中 ,y 是 密 钥 ,z EAH. 
需要 签名 的 消息 是 : 
x = (1,0,1) 
实施 Lamport 44: 
sig(x) = (1245.283.3237) 
对 Lamport 签名 进行 验证 : 
7*5 mod 7177 = 3819 
wr(r) = true4 775 mod 7177 = 4565 
7** mod 7177 = 5704 
Lamport 签名 方案 是 非常 安全 的 ,攻击 者 在 不 知道 密 钥 的 情况 下 是 不 可 能 伪造 签名 的 。 
但 是 ,同一 个 Lamport 签名 方案 不 能 对 两 个 不 同 消息 进行 签名 ,因为 根据 两 个 不 同 的 消息 
签名 ,可 以 得 到 更 多 的 签名 。 
例如 ,用 同一 个 Lamport 签名 方案 对 消息 (1,0,0) 和 (0,1,0) 签 名 ,分 别 得 到 (yn， 
Yz * Y30) s (Yio * Yi Ys0)， 那 么 就 可 以 得 到 (1,1,0) 和 (0,0,0) 的 签名 (yi Yn s Yao) * (yo， 


Ya » 30) 。 
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6.5 不 可 抵赖 签名 方案 


只 要 有 签名 者 的 公 钥 就 可 以 鉴别 签名 是 有 效 的 ,还 是 伪造 的 。 但 是 ,明明 是 有 效 的 签 
名 ,签名 者 事后 却 不 承认 该 怎么 办 ? 这 就 是 抵赖 的 问题 。 
应 该 说 前 面 的 签名 是 不 能 实现 * 不 可 抵赖 ?功能 的 ,解决 这 个 问题 的 办 法 是 在 原 有 的 签 
名 和 认证 方案 基础 上 ,增加 一 个 由 签名 者 参与 的 伪造 证 明 协议 。 
伪造 证 明 协 议 中 使 用 一 种 挑战 /响应 (Challenge & Response) 方 式 。 这 里 的 挑战 /响应 
方式 是 指 验 证 方 先 提出 一 个 挑战 数据 ,由 签名 方 进行 响应 ,然后 由 验证 方 根据 这 个 响应 数据 
来 得 出 某 个 结论 。 
在 不 可 抵赖 问题 上 ,有 以 下 情况 需要 考虑 : 
CD 签名 者 有 可 能 否认 早期 的 有 效 签名 ; 
(2) 签名 者 有 权 拒 绝 参 与 挑战 /响应 方式 的 验证 ; 
(3) 签名 者 虽然 参与 了 挑战 /响应 方式 的 验证 ,但 并 不 配合 或 总 是 提供 假 数据 。 
伪造 证 明 协 议 需要 签名 方 参 与 ,用 来 证 明 一 个 签名 确实 是 伪造 而 不 是 签名 方 签发 的 。 
如 果 签 名 方 不 配合 或 配合 后 仍 不 能 证 伪 ,就 说 明 签名 方 抵赖 了 。 
因此 完整 的 不 可 抵赖 签名 方案 应 包括 一 个 签名 算法 、 一 个 验证 协议 和 一 个 伪造 证 明 
协议 。 
Chaum 和 van Antwerpen 于 1989 年 率先 提出 了 下 面 的 不 可 抵赖 签名 算法 。 
Chaum-van Antwerpen 签名 算法 和 验证 协议 : g 是 素数 ,p 二 2g 十 1 也 是 素数 , 令 a€E ZZ 
( 阶 为 90) ,定义 : 
B=a modp (1zazq-—1) 
G 表示 Z; 阶 为 g 的 乘法 子 群 (由 模 p 的 平方 剩余 组 成 ),P 二 A 二 G, 定 义 : 
K = (Cpsa sa) iB = a mod p} 
签名 算法 为 ， 
y = x° mod p 
对 于 zyEG, 验 证 使 用 以 下 协议 ， 
A) 验证 方 随机 选取 e ez € Zi 。 
(2) 验证 方 计算 : 
c = yh* mod p 
然后 将 c 发 给 签名 方 。 
(3) 签名 方 计算 : 
d = c 99 mod p 
然后 将 d 发 给 验证 方 。 
(4) 验证 方 认可 签名 , 当 且 仅 当 : 
d = x^a*? mod p 
下 面 简单 地 对 签名 进行 验证 : 
根据 第 (1)、(3) 步 ,可 得 d=c* (mod p)==y%* ge (mod p) 
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因为 g—a* ,所 以 : 
类 似 的 


于 是 : 
d = x^ a (mod p) 
H] 6.9 在 Chaum-van Antwerpen 签名 方案 中 ,p= 二 1019,g 二 509,p 二 2g 十 1, 取 a 二 16， 
B—817, 
密 钥 : 


Key={1019,16,817,222} 
其 中 ,(1019,16,817) 是 公 钥 ,222 是 私 钥 。 


消息 : 
x — 201 
实施 签名 算法 : 
y = 16? = 834 
验证 方 选取 : 
e, = 48, e, = 233 

并 计算 出 : 

c = 834“ X 8177? mod 1019 = 89 
签名 方 计算 : 

d = 89 '""5S"mod 1019 = 668 
验证 方 进行 有 效 性 验证 : 


wer = truec2201** X 465* mod 1019 = 668 
于 是 ,验证 方 可 得 出 结论 : 该 签名 是 有 效 签 名 。 

下 面 的 定理 将 说 明 很 难 使 一 个 非法 签名 通过 验证 。 

定理 6.1 对 于 一 个 伪造 的 签名 yA (mod p) ,那么 验证 方 能 够 认可 y 是 一 个 有 效 签 
名 的 概率 仅 为 1/g。 

WEBB. 因为 y 和 8B 都 是 阶 为 9 的 乘法 群 G 中 的 元 素 , 所 以 每 一 个 可 能 的 c 恰好 对 应 于 0 
A48 HO Co ,ez ) 。 当 签名 方 接收 到 c 时 ,他 无 法 知道 c 是 验证 方 用 这 q 种 可 能 有 序 对 (ei， 
ez) 中 的 具体 哪 一 对 构造 出 来 的 。 

接 下 来 说 明 ,如 果 y 隆 x"(mod p) ,那么 8 所 做 的 任何 一 个 响应 可 能 的 回答 VECG 都 恰 
好 与 这 9 个 有 序 对 (ei ,es) 中 的 一 个 一 一 对 应 。 

因为 a 是 G 的 生成 元 ,所 以 G 中 每 个 元 素 都 可 以 写成 a 的 指数 形式 。 

不 妨 设 : 


其 中 ,hi、j、kRE Z 
考虑 下 列 两 个 同 余 式 : 
c = y^ p° (mod p) 
d = x^ a (mod p) 
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两 个 同 余 式 等 价 于 : 


h = kei + ae; (mod q) 
| (6. 7) 


i = je, 4- e; (mod q) 
因为 yz5a* (mod p), fiV: 
ka 


ka 
MM 
iW Bk ,方程 组 (6.7) 有 唯一 解 。 
也 就 是 说 每 一 个 4€EG 都 恰好 对 应 着 gq 个 有 序 对 (ei e ) 中 的 一 个 ,这 也 证 明了 验证 方 
能 够 以 1/q 的 概率 认可 y 是 一 个 有 效 签名 。 
以 上 是 验证 算法 ,下 面 是 伪造 证 明 协 议 。 
Chaum-van Antwerpen 伪造 证 明 协 议 : 验证 方 随机 选取 e es € Z ,计算 出 : 
cı = y^ * mod p 


于 是 , 同 余 方程 组 的 系数 矩阵 


将 ci 发 送 给 签名 方 。 
(1) 签名 方 计算 : 
d, = ci "mod b 
然后 ,将 di 发 送 给 验证 方 。 
(2) 验证 方 验证 是 否 : 
d, Æ x^ a° (mod p) 
验证 方 又 随机 选取 fh fo € Z; ,计算 出 : 
c = yi B° mod p 
将 c 发 送 给 签名 方 。 
(3) 签名 方 计算 : 
d; = cf "dagmod p 
然后 将 do 发 送 给 验证 方 。 
(4) 验证 方 验证 是 否 ， 
da A x^ af: (mod p) 
(5) 验证 方 可 以 确定 y 是 伪造 的 , 当 且 仅 当 : 
(dia *: )h = (dza f: ) (mod p) 


下 面 进行 简单 的 验证 。 
因为 : 
d, = d (mod p) 
c = y^ g* (mod p) 
B= a° (mod p) 
所 以 : 
(dia ®)h 


= (n gi)! ' q7)^ (mod p) 
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= yn push a ^^ (mod p) 
= ynhafha ^ (mod p) 
= y^^ (mod p) 
同 理 可 得 : 
(dza 1)f = y^^ (mod p) 
于 是 : 
(dia) = (dza “ )® (mod p) 
例 6.10 Chaum-van Antwerpen f/i& EB] HN P. p=1019,q=509, p=2q+1. 
取 a—16.8—817, 985 8] Key (1019,16,817.222) ,其 中 ,(1019,16,817) 是 公 钥 ,222 是 
私 钥 。 
消息 zx 一 286, 现 有 签名 y —83 ,验证 方 选 取 ei 二 45,ez 二 237, 计 算出 : 
cı = 835 X 81727mod 1019 = 244 
签名 方 计算 : 
d, = 2441 "mso mod 1019 = 629 
验证 方 验证 : 
verl = false 28655 x 16"? = 770 A 629( mod 1019) 
验证 方 再 选取 f, —125. f; —9 3E EG : 
c; = 83'5 x 817* mod 1019 = 644 


签名 方 计算 : 
d, = 6447! ^" mod 1019 = 930 
验证 方 又 验证 : 
zer2 = falsec2 286'” x 16° = 57 z 930(mod 1019) 
验证 方 再 验证 : 


ver3 = true® (629 X 16 ?* 5 = (930 X 16°)“ = 658(mod 1019) 
验证 方 最 终 可 以 得 出 结论 : 签名 方 可 以 证 明 此 签名 不 是 自己 签发 的 有 效 签名 。 也 就 是 
说 ,签名 方 并 没有 抵赖 。 


6.6 Fail-stop 签名 方案 


Fail-stop 签名 满足 的 是 另 一 种 需求 : 对 于 一 个 消息 ,攻击 者 可 能 伪造 出 一 个 签名 通过 
验证 ,虽然 概率 很 小 。 当 签名 者 发 现 了 这 个 “有 效 的 签名 ”有 问题 时 ,需要 证 明 这 个 是 伪造 的 
签名 。 显 然 , 光 靠 原 来 的 验证 算法 是 不 够 的 ,与 不 可 抵赖 签名 解决 方案 类 似 , 这 时 有 效 签名 
者 需要 参与 进来 形成 一 种 证 伪 协 议 ,与 验证 者 共同 揭穿 这 个 伪造 的 签名 。 此 外 ,还 要 求 这 个 
签名 方案 也 是 一 次 签名 方案 。Fail-stop 签名 提供 更 强大 的 安全 性 。 

van Heyst & Pedersen Fail-stop 签名 方案 : q EKK. p —2q-7- 1 也 是 素数 , 令 a€E Zi , 阶 
为 q, 取 Kao q— 1 9l : 
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B = a^ mod p 


(Gs qsasB | ai) 
HP, pga B ERAH ao 是 私 钥 。 


消息 空间 和 签名 空间 : 
P-Z, A-Z,xZ, 
选取 : 
K = Cn +2501 ds bi pb) 
其 中 : 


Yı = a^ g*: mod p 
Y2 = a^ 8*5 mod p 
aısazsb b; € Z, 
XT K— Qa yesai sai sbi b) 8I 1E Z,, 签 名 算法 为 : 
SIgkK (TXT) 一 (yyz) 
其 中 : 
m=a+wimodg 


Yz = as+xwbmodg 
验证 算法 为 : 
Verk (zy) = true yi yi = a^ 8” (mod p) 
f| 6.11 在 Fail-stop 签名 方案 中 ,已 知 p—1019,9—509. p=2q +1, a— 11.9373. 


相应 的 私 钥 为 : 


ao — 23 
选取 : 
di 408. a; 302. b 223, b, 199 
可 计算 出 : 
y: = 11 x 373% (mod 1019) = 124 
y: = 11? x 373? (mod 1019) = 961 
消息 为 : 
x — 200 
签名 为 : 


y = (408 + 200 X 223.302 + 200 X 199) mod 509 = (216.400) 
对 签名 进行 验证 : 
werg (x,y) = truec2124 X 961° = 11% x 373'" = 565(mod 1019) 

因此 ,> 是 有 效 的 Fail-stop 签名 。 

定义 6.1 如 果 X==X V= PRV ys a sas bi sb) (A Xe sai sal ,0 , 芭 ) 为 等 价 密 钥 。 

定理 6.2 [Riz KAK 是 等 价 密 钥 ,如 果 verk (zx,y) 二 true, 那 么 verk (r, y)=true, 

WEBB. 假设 K — (yi «Ys «ai sa bi sba} M K' — Uri Ys a1 sas bi 02) IA AE EL F 
是 有 : 

Y: = o^1g*: (mod p) = a^ 8°? (mod p) 
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Y. = a^ f: (mod p) = a^ g* (mod p) 
假设 使 用 密 钥 K 对 消息 zx 进行 签名 ,签名 为 : 
Guy) 
其 中 : 


yı a4 + xb, (mod q) 


| 


yz = az + xb: (mod q) 
用 KK' 来 验证 签名 (yi ,ys ) : 
a” B” (mod p) 
一 gt putt (mod p) 
= (a g*: ) (a^ g* )* (mod p) 
= yiyi (mod p) 
命题 得 证 。 说 明 y 既 可 以 通过 K 来 验证 ,也 可 以 通过 K' 来 验证 。 
定理 6.3 对 于 天 ,有 一 sigk(z) FE qg NIK 等 价 的 密 钥 使 得 : 
y = sige (x) 
证 明 : 假设 为 ,六 是 开 的 公开 部 分 , 先 考虑 使 得 以 下 同 余 方程 组 成 立 的 (oaz, sba) 
的 个 数 ， 
y: = a^ f (mod p) 
Y2 = a^ g^ (mod p) 
yı = a4 + ab, (mod q) 
yz = az + zb: (mod q) 
a 是 G 的 生成 元 ,所 以 存在 cisco 和 wo 使 得 : 
Yı = a“ (mod p) 
ys = a° (mod p) 
= g^» (mod p) 
于 是 可 将 前 面 的 同 余 方 程 组 转化 为 : 


cı £ a1 d agas (mod q) 


cz = by + bob: (mod q) 
yı = a, ab, (mod q) 


yz = az + xb (mod q) 


也 可 以 写成 矩阵 的 形式 : 
la, 0 01fa a 
0 0 1 ae||a2 _|e 
1 0 z O||h| |» 
0 1 0 zl 2 


该 系数 和 矩阵 的 秩 是 3, 因 此 方程 组 的 解 空 间 的 维 数 为 4 一 3 二 1, 在 有 限 域 上 恰 有 g 个 解 。 

下 面 不 加 证 明 地 给 出 另 一 个 引 理 : 

设 KK 是 一 个 密 钥 ,如 果 y—sigk Ge verg Gc «y ) 二 true,x' 关 TX, 那么 最 多 存在 一 个 
满足 : 
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y= sigg (z), y = sigg (x) 

综 上 所 述 ,可 以 总 结 出 这 样 一 个 结论 : 对 于 一 个 有 效 的 消息 签名 对 (z,y) ,存在 着 4 个 
与 原 K 不 同 的 密 钥 都 能 够 验证 该 签名 。 但 是 ,如 果 换 一 个 消息 x' 隆 zx, 那么 这 g 个 不 同 的 密 
钥 将 产生 各 不 相同 的 签名 。 基 于 这 个 原因 , 换 一 个 说 法 就 是 下 面 Fail-stop 方案 的 关键 
定理 。 

定理 6.4 如 果 sigk GO — y Hr za il BERE AERE sige (x ) 的 概率 是 1/g。 

在 Fail-stop 签名 方案 中 ,9 越 大 , 受 攻击 的 概率 越 小 。 虽 然 伪造 的 可 能 性 比较 小 ,但 既 
然 有 伪造 的 可 能 ,就 有 证 明 伪 造 的 需求 。 

假设 出 现 了 这 种 情况 : 攻击 者 拥有 一 对 (z,y), 满 足 ver (x. y) — true. dH. yA 
sigg Gr 2 Bl: 

py a% ^: (mod p 
签名 方 可 计算 x 的 真正 签名 : 
YiY$ = a g* (mod p 
于 是 : 
ph = a" p* (mod p) 
aito = aito (mod p) 
因 p=2g 十 1, 有 : 
yit ao y275 yı+ ao y (mod q) 
yi— y= asCy?— y2) mod q) 
a, = log = (yi— yi) Cys— y2) (mod q) 
这 样 ,签名 者 就 能 通过 wo 出 具 一 份 伪造 证 明 。 
例 6.12 在 Fail-stop 签名 方案 中 ,已 知 p—1019.9—509. p—2q--1.Jft 
a—1l. B= 373 


相应 的 私 钥 为 : 
@ = 23 
选取 : 
ai = 408, a, = 302 
b, = 223. b, = 199 
可 计算 出 : 
yı = 11"* X 373% (mod 1019) = 124 
ye = 11 x 373? (mod 1019) = 961 
消息 为 : 


x = 200 
现 有 一 个 签名 ,不知 其 真 伪 ， 
y” = (262.398) 
虽然 也 能 够 通过 验证 : 
vergr, y") = truec2124 X 961°” = 11%? x 373% = 565(mod 1019) 
但 实际 上 它 是 伪造 的 , 接 下 来 签名 方 将 证 明 它 是 伪造 的 。 
签名 方 可 通过 自己 的 签名 算法 计算 出 z 的 真实 签名 : 


第 6 章 数字 签名 129 


y = (408 + 200 X 223,302 + 200 X 199) mod 509 = (216,400) 
对 y 进行 验证 : 
verg (zsy) = truec2124 X 961?? = 11 x 3734 = 565(mod 1019) 
接 下 来 是 对 y 进行 伪造 判断 ,由 于 : 
ao = (262 — 216) (400 — 398)! (mod 509) = 23 
所 以 说 明 y 是 伪造 的 。 
Fail-stop 签名 方案 还 是 一 种 一 次 签名 方案 ,因为 如 果 用 同一 个 密 钥 K 对 两 个 消息 进行 
签名 ,那么 会 产生 以 下 方程 组 : 
yi & a1 + x; bi (mod q) 


y2 = az + xıb: (mod q) 


y= a, + xsbi (mod q) 


y2= az + zsb; (mod q) 
EEA »J 2 Gs yi sya HIRERE F ,可 以 解 出 aı az 、O vb2 o 
— H Fail-stop 签名 第 一 次 被 伪造 后 ,系统 所 有 的 参加 者 都 能 够 知道 签名 方案 已 被 攻 
破 , 于 是 该 签名 宣布 无 效 ,这 也 正 是 Fail-stop 名 称 的 来 历 。 


6.7 其 他 特殊 签名 方案 简介 


除 前 面 介 绍 的 数字 签名 外 ,还 有 一 些 在 特殊 场合 下 使 用 的 签名 方案 ,下 面 将 对 一 些 常 见 
的 特殊 签名 方案 进行 简单 的 介绍 。 

1. 群 签名 

群 签名 的 思想 最 早 由 Chaum 和 Heyst 于 1991 年 提出 ,适用 于 以 下 的 情形 。 

一 个 公司 有 多 台 连 接 到 局 域 网 上 的 计算 机 ,公司 的 每 个 部 门 都 有 自己 的 打印 机 ,打印 机 
也 连 在 局 域 网 上 。 一 般 要 求 只 有 本 部 门 的 人 员 才 被 允许 使 用 本 部 门 的 打印 机 ,所 以 打印 时 
必须 使 打印 机 确信 用 户 在 哪个 部 门 工 作 。 同 时 ,公司 希望 不 暴露 使 用 者 的 身份 ,可 是 如 果 在 
当天 结束 时 发 现 打 印 机 使 用 得 太 频 繁 ,管理 者 又 能 够 指出 是 谁 频繁 使 用 了 那 台 打印 机 ,并 做 
出 处 罚 。 

可 以 把 上 面 的 模型 概括 为 群 签名 的 3 条 基本 性 质 : 

(1) 只 有 群体 内 的 成 员 才 能 够 对 消息 进行 签名 ; 

(2) 接收 者 能 够 验证 签名 是 该 群体 内 的 一 个 有 效 签 名 ,但 不 能 发 现 该 签名 具体 是 由 哪 
一 个 成 员 所 签 ; 

(3) 如 果 出 现 争议 ,该 签名 可 以 被 “打开 ”以 查实 签名 者 的 身份 。 

从 以 上 3 条 基本 性 质 ,可 以 得 到 群 签 名 的 若干 技术 需求 。 

CD 防伪 性 : 只 有 和 群 成 员 才 能 产生 有 效 的 群 签名 。 

(2) 匿名 性 : 给 定 一 个 群 签名 后 , 除 群 管理 员 之 外 的 任何 人 ,确定 签名 人 的 身份 在 计算 
上 是 不 可 行 的 。 

(3) 可 跟踪 性 : 群 管理 员 在 必要 时 可 以 打开 一 个 签名 以 确定 签名 人 的 身份 ,而 且 签名 
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人 不 能 阻止 一 个 有 效 签名 的 打开 。 

(4) 防 陷害 攻击 : 包括 群 管理 员 在 内 的 任何 人 都 不 能 以 其 他 群 成 员 的 名 义 产生 有 效 的 
群 签名 。 

(5) 不 关联 性 : 在 不 打开 签名 的 情况 下 ,确定 两 个 不 同 的 签名 是 否 为 同一 个 群 成 员 所 
签 在 计算 上 是 不 可 行 的 。 

(6) 抗 联合 攻击 : 即使 一 些 群 成 员 串 通 起 来 ,也 不 能 产生 一 个 有 效 的 不 被 跟踪 的 群 
签名 。 

一 个 群 签名 方案 往往 包括 以 下 5 个 关键 算法 。 

(1) 创建 (Setup) 算 法 : 通常 是 通过 概率 算法 产生 群 公 钥 和 群 管理 员 的 私 钥 。 

(2) 加 入 (Join) 算 法 : 一 个 用 户 和 和 群 管理 员 之 间 使 用 户 成 为 群 成 员 的 协议 。 执 行 该 协 
议 可 产生 群 成 员 的 私 钥 和 成 员 证 书 。 

G) 签名 (Sign) 算 法 : 输入 是 要 签名 的 消息 和 一 个 群 成 员 的 私 钥 ,输出 是 该 消息 的 
签名 。 

(4) 验证 (Verify) 算 法 : 输入 是 消息 的 签名 和 群 公 钥 后 ,输出 的 结果 是 签名 是 否 有 效 。 

(5) 打开 (Open) 算 法 : 给 定 一 个 签名 和 和 群 管理 员 的 私 钥 ,确定 签名 人 的 具体 身份 。 

最 经 典 的 群 签名 方案 莫 过 于 CS97 方案 。1997 年 Camenisch 发 表 了 论文 Ef ficient 
and generalized group signature ,文中 首次 提出 了 知识 签名 的 概念 ,并 依据 这 种 新 思路 给 
出 了 一 个 实用 的 群 签名 方案 。 由 于 引入 了 知识 签名 的 方法 ,研究 者 们 发 现 群 签名 验证 的 目 
的 被 明确 ,签名 者 必须 在 验证 中 应 用 知识 签名 清晰 地 证 明 自 己 拥有 的 有 效 身份 ,才能 防止 任 
何 非 授 权 者 伪造 签名 。 

由 于 篇 幅 限 制 ,本 书 没有 系统 地 介绍 知识 签名 的 相关 原理 ,CS97 方案 在 此 也 一 并 略 过 ， 
感 兴趣 的 读者 可 查阅 相关 文献 。 

2. 盲 签名 

早 在 1982 年 Chaum 就 提出 了 盲 签名 的 概念 。 

Chaum 给 出 一 个 例子 : 当 文件 装 在 信封 中 时 ,任何 人 都 不 能 读 它 , 签 这 个 文件 就 是 在 
信封 里 放 一 张 复写 纸 ， 当 签名 者 签 这 个 信封 时 ,他 的 签名 便 透 过 复写 纸 签到 了 文件 上 。 

可 以 把 言 签名 的 需求 更 明确 地 表达 如 下 : 

CD 消息 的 内 容 对 签名 者 是 盲 的 ; 

(2) 即使 签名 者 保存 签 过 的 文件 ,也 不 能 确定 出 所 签 文件 的 真实 内 容 。 

针对 以 上 需求 ,通常 盲 签名 的 实施 包括 以 下 几 个 步 又: 

CD 在 将 原始 信息 发 送 给 签名 者 前 ,首先 要 对 原始 信息 进行 盲 化 ; 

(2) 签名 者 对 盲 化 后 的 信息 进行 签名 并 返还 给 接收 者 ; 

(3) 接收 者 得 到 签名 后 ,先进 行 去 盲 化 ,然后 得 到 签名 者 关于 原始 信息 的 正确 签名 。 

盲 数 字 签 名 的 基本 原理 是 实用 两 个 公 钥 密码 算法 ,第 一 个 公 钥 密码 算法 用 于 隐藏 信息， 
可 称 为 盲 变换 ,第 二 个 公 钥 密码 算法 用 于 签名 。 

下 面 以 RSA 讶 签名 为 例 进行 说 明 。 

(D Alice 使 用 随机 数 r 和 Bob 894348 n.b) 438 Ei ili lm — f on) r^ mod n, 

(2) Bob ife som ER A OLIO AH a 产生 签名 > — m^ mod n, 
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(3) Alice 通过 计算 sr = (nr )r =m =s 获得 Bob 关于 消息 m 的 签名 。 

(4) Alice 通过 验证 s* = f (m) mod nn 来 验证 签名 的 有 效 性 。 

可 以 看 出 , 由 于 盲 因子 7 的 作用 ,Bob 从 浆 中 看 不 到 真实 消息 m. 但 Alice 却 可 利用 
获得 签名 。 

盲 签名 是 电子 现金 系统 和 电子 投票 系统 中 的 关键 技术 。 

3. 代理 签名 

在 日 常生 活 中 ,经 常 需要 将 自己 的 某 些 权力 委托 给 可 靠 的 代理 人 ,由 代理 人 代表 本 人 去 
行使 签名 权 , 代 理 签 名 是 这 一 需求 的 解决 方案 。 

可 以 把 代理 签名 的 需求 更 明确 地 总 结 如 下 。 

(1) 不 可 伪造 性 : 除了 原始 签名 者 ,只 有 指定 的 代理 签名 者 能 够 代表 原始 签名 者 产生 
有 效 的 签名 。 

(2) 可 验证 性 : 从 代理 签名 中 ,验证 者 能 够 确信 原始 签名 者 认同 了 这 份 签名 消息 。 

(3) 不 可 否认 性 : 一 旦 代理 签名 者 代替 原始 签名 者 产生 了 有 效 的 代理 签名 ,就 不 能 向 
原始 签名 者 否认 他 所 签 的 有 效 代 理 签 名 。 

(4) 可 区 分 性 : 任何 人 都 可 区 分 代理 签名 和 原始 签名 者 的 签名 。 

(5) 可 识别 性 : 原始 签名 者 能 够 从 代理 签名 中 确定 代理 签名 者 的 身份 。 

通常 代理 签名 的 实施 包括 以 下 几 个 步骤 : 

CD 初始 化 过 程 。 确 定 原始 签名 者 .代理 签名 者 的 密 钥 。 

(2) 权力 委托 过 程 。 原 始 签名 人 利用 他 的 私 钥 计 算出 一 个 数 c, 然 后 将 o 秘密 地 交 给 代 
理 签名 者 。 任 何人 (包括 代理 签名 者 ) 都 无 法 通过 o 去 破解 原始 签名 人 的 私 钥 。 

(3) 代理 签名 的 生成 过 程 。 代 理 签 名 者 可 以 利用 ec 和 自己 的 私 钥 , 生 成 一 个 新 的 签名 
密 钥 0, 代 理 人 用 9 进行 签名 。 

(4) 代理 签名 的 验证 过 程 。 通 过 原始 签名 人 的 公 钥 ,可 以 验证 签名 的 有 效 性 。 

在 代理 签名 的 过 程 中 ,o 被 称 为 委托 密 钥 ,0 则 是 代理 签名 密 钥 。 

1996 年 Mambo, Usuda 和 Okamoto 提出 的 基于 ElGamal 签名 体制 的 代理 签名 方案 是 
一 个 典型 的 代理 签名 方案 。 

下 面 简要 说 明 MUO 方案 的 原理 。 

Wb p 是 一 个 大 素数 ,q 是 p 一 1 的 一 个 素 因 子 ,gE Zi 是 一 个 g 阶 生成 元 。 

原始 签名 方 的 私 钥 是 xo € Z, ,相应 的 公 钥 是 : 

yo — g^ mod p 
原始 签名 方 随机 选择 rE Z, i Es 
R = g' mod p. o= x, +rR mod q 

原始 签名 方 将 (R,o) 发 送 给 代理 签名 方 。 

代理 签名 方 检验 等 式 : 

g 三 yoRsmod p 

EFRR M o 是 有 效 的 委托 密 钥 ; 否则 ,拒绝 接受 原始 签名 方 的 代理 授权 。 

代理 签名 方 使 用 代理 签名 密 钥 对 消息 M 进行 签名 。 

验证 者 首先 计算 代理 签名 公 钥 : 
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y = yy REmod p 
然后 通过 相应 的 验证 算法 进行 验证 。 
代理 签名 是 电子 支付 系统 中 的 关键 技术 之 一 。 


6.8 J 题 


1. 在 RSA 签名 方案 中 , 取 n—59 251.a—28 151, 试 对 消息 zx 一 2005 进行 签名 。 
2. E RSA 签名 方案 中 , 取 p 二 193,g 王 307,6 二 1223, 试 验证 以 下 签名 是 否 合法 : 
(1) (192,1543) 
(2) (961,361) 
(3) (513,20 800) 
3. 在 ElGamal 签名 方案 中 , 设 p= 1321.a — 13, a — 211, iR XE If E x= 999 进行 
ElGamal 签名 。 
4. 在 ElGamal 签名 方案 中 , 设 p—1321.a—13.8— 449. iX iE F P AE A Cy 0. 20 JE 8 
为 合法 签名 : 
(1) (604,810,486) 
(2) (605,830,586) 
(3) (604,850,686) 
5. 在 EIGamal 签名 方案 中 , 设 p= 二 1321,a 二 13,B 二 633, 在 不 知道 log,B 的 前 提 下 试 构造 
出 一 个 合法 签名 。 
6. 在 ElGamal 签名 方案 中 , 设 p= 二 1321,a 二 13,B 二 1270, 并 且 已 知 一 组 签名 : 
(y,6,z) = (666,515,131) 
试 构 造 出 另 一 个 合法 签名 。 
7. 在 ElGamal 签名 方案 中 , 设 p—1321.a—13.8— 799 log, 未 知 ,并 已 知 两 个 签名 分 
别 为 : 
(ys01,71) = (604,762,666) 
(y«0; 23) = (604,165,717) 
而 且 两 个 签名 使 用 了 同一 个 1, 试 求 1 值 。 
8. 对 消息 z= 一 (1,0,0) 进 行 Lamport 签名 ,具体 参数 为 p 二 8447,a 二 29 是 生成 元 。 
419 718 
731 825 
725 835 
9. 判断 下 列 哪些 签名 是 合法 的 Lamport 签名 ,具体 参数 为 p 二 9001,a 二 23 是 生成 元 ,y 


未 知 。 
4555 8413 
z= E "| 
8047 5021 
(1) x— (0.0.1) .sigCx) —(718.731.835) 


y= 
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(2) z 一 (1,1,0),sig(z) 一 (718,825,725) 

(3) z 一 (0,0,1),sig(z) 一 (419,825,725) 

10. 对 消息 z= 二 1200 实施 Chaum-van Antwerpen 签名 ,具体 参数 为 p 二 3023,g 二 1511， 
a=23,a=201. 

11. 在 Chaum-van Antwerpen 签名 方案 中 ,具体 参数 为 p= 二 3023,g 二 1511,a 二 23,B 
2102, 试 分 别 详细 说 明 下 列 签名 的 验证 过 程 : 

(D r—100,sig(z)—2870,.e =93, e, —67 

(2) x—250,sig(x)—2900,e; —93,e, —67 

(3) 1—250,.sigCr) —2901.6; —193.e; —167 

12. 在 Chaum-van Antwerpen 签名 方案 中 ,具体 参数 为 p—3023.q—1511.a—23. 8 
2102 ,ei 二 93,es 二 67, 试 根据 返回 的 d 的 结果 判断 下 列 签名 是 否 为 有 效 签名 : 

A) z=846,sig(z)=1592,d=1378 

(2) 1—825.sigCr) —1240.d— 2772 

(3) x—608.sig( x) —42.d— 3496 

13. 对 消息 x—200 实施 Fail-stop 签名 ,具体 参数 为 p — 12 107.q— 6053, —29.a 
509.a, —718.a; =731,b, =419,b: —725, 

14. 在 Fail-stop 签名 方案 中 ,具体 参数 为 —10 079,9 — 5039, a= 23, 8—2542,ai 
408 a; —302 b, —223 5, —199. IRIE F Ti EA Jet HARER 

(D 2—100.sigCGr) — (2552,46) 

(2) x—250.sigCr) — (729.4700) 

(3) z—1000.sigCr) —(1692,2781) 
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一 般 情况 下 ,数字 签名 的 长 度 往往 比 消息 长 ,而 现实 中 的 长 消息 又 非常 普遍 ,因此 数字 
签名 算法 实现 过 程 中 的 操作 难度 将 非常 大 。 不 可 能 对 整 条 长 消息 直接 签名 ,因为 超过 有 限 
域 的 阶 的 数据 就 意味 着 无 法 处 理 。 如 果 将 长 消息 分 成 若干 段 后 分 别 签 名 ,那样 做 非常 麻烦 ， 
而 且 在 拼接 的 时 候 又 会 产生 数据 完整 性 问题 。 比 较 合理 的 做 法 是 在 数字 签名 前 对 消息 先进 
行 数字 摘要 ,然后 再 对 数字 摘要 进行 签名 。 

数字 摘要 将 任意 长 度 的 消息 变 成 固定 长 度 的 短 消息 ,类 似 于 一 个 自 变量 是 消息 的 函数 ， 
这 个 函数 是 Hash 函数 。 


7.1 Hash 函数 的 基本 概念 


首先 给 出 一 个 Hash 函数 的 定义 。 

Hash 函数 ( 族 ): 一 个 Hash 函数 ( 族 ) 是 一 个 三 元 组 (X,Y, 万 ) ,其 中 : 

(OD X 表示 可 能 的 消息 集合 ; 

(2) Y 表示 一 个 有 限 集合 ; 

G) 存在 h€ H, h: XY. 

X 是 有 限 集合 还 是 无 限 集合 并 没有 要 求 。 当 X 是 有 限 集合 时 , Hash 函数 就 成 了 压缩 
算法 。 

一 般 情况 下 ,约定 |X| 宇 |Y| ,大 多 数 情况 下 甚至 约定 |X| 宇 2|Y|。 

给 定 X 和 Y, 令 F(X,Y) 表 示 由 X 映射 到 Y 的 所 有 可 能 的 函数 , 称 F(X,Y) 是 Hash 
函数 。 

不 妨 设 1XI=N,IY|=M, 那 么 |F(CX,Y)|=M ,有 时 也 称 F(X,Y) 是 一 个 规模 是 (N， 
AM) 的 Hash 函数 族 。 

Hash 函数 与 Hash. 函数 族 的 概念 有 时 候 并 不 明确 ,读者 可 根据 上 下 文 来 区 分 。 

接 下 来 的 3 个 概念 对 于 Hash 函数 的 安全 性 分 析 至 关 重 要 。 

CD 原 像 问题 : 给 定 一 个 Hash PRÉC A. y 为 一 个 消息 摘要 ,寻找 出 x 使 得 y= 二 (zx) 的 
问题 称 为 原 像 问题 。 

给 定 一 个 Hash PEE h. y 为 一 个 消息 摘要 ， 若 要 找 出 zx 使 得 y= 二 h(xz) 在 计算 上 不 可 
行 , 则 称 此 Hash 函数 为 抗原 像 攻击 的 。 

(2) 第 二 原 像 问题 : 给 定 Hash 函数 hh 和 任意 给 定 的 消息 m, 寻找 一 个 m,m' 关 m, 使 
得 h Gn) — h Gn. 的 问题 称 为 第 二 原 像 问题 。 第 二 原 像 问题 也 称 次 原 像 问题 。 

给 定 Hash 函数 h 和 任意 给 定 的 消息 m, 如 果 要 找 一 个 m,m zm Ll hn) —h On) 
在 计算 上 不 可 行 , 则 称 h 是 抗 第 二 原 像 攻击 的 ,也 称 该 Hash 函数 是 弱 无 碰撞 (Weak 
Collision-Free) 的 。 
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(3) 碰撞 问题 : 寻找 两 个 消息 ma ms. mime. 使 得 hOni) — h On) ,这 个 问题 称 为 碰 
jii (Collision) [8] i , 

如 果 有 两 个 消息 ma uma «omi ms. 使 得 h On ) — h On; )， 就 说 这 两 个 消息 m 和 ms 是 
碰撞 的 消息 。 

如 果 要 找到 任意 一 对 消息 wa ums ,ma 闫 mz， 使 得 hm ) 二 hh(ms) 在 计算 上 不 可 行 , 则 称 
hh 是 抗 碰撞 攻击 的 。 该 Hash 函数 又 称 为 强 无 碰撞 (Strong Collision-Free) 的 Hash 函数 。 

为 了 分 析 Hash 函数 的 安全 性 , 先 介绍 一 种 理想 的 Hash 函数 模型 。 

这 个 理想 的 Hash 函数 模型 又 被 称 为 随机 预言 模型 (Random Oracle Model) 。 在 随机 
预言 模型 中 ,无 法 给 出 一 个 公式 或 算法 来 计算 函数 的 值 。 要 得 到 计算 h(x) 的 唯一 方法 是 
询问 随机 预言 器 。 询 问 随机 预言 器 的 做 法 类 似 于 查询 一 个 很 大 的 表 。 

对 于 每 个 +,， 有 一 个 完全 随机 的 值 h(x) 与 之 对 应 。 

这 种 随机 性 能 够 带 来 很 大 的 安全 性 ,即使 已 经 知道 很 多 (zi Ih G0. Geh Gns D ene 
Gy hi Go) ,也 无 法 计算 出 下 一 个 xz 对 应 的 h(x), 要 得 到 h(x) 只 能 是 询问 随机 预言 器 。 

为 了 理解 随机 的 重要 性 ,下 面 举 一 个 相反 的 例子 。 

假设 构造 这 样 一 个 Hash 函数 : Z, X Z, >Z, 

h(z,y) = ax 4- bymod n 
其 中 , a.bEZ, 是 一 个 大 于 2 的 素数 。 

现在 得 到 两 组 Hash 函数 值 ,分 别 是 (C(x,y1) Hh Gs yi HEC s y2) HA Gro 22). 

不 妨 设 zı 二 h(xi,y1) ,zz 二 h(xz ,yz)。 

假设 (zs,y ) 一 (pz 十 gzaypys 十 gyz) ,那么 可 以 计算 出 : 

h(x, y3) = aCpzi +qx2) d- bCpys +qy2) = pzi + qzz 
于 是 ,可 以 通过 以 往 的 Hash 函数 计算 出 新 的 Hash 函数 。 

随机 预言 模型 则 不 是 这 样 ,一 个 新 的 的 Hash 函数 值 只 能 通过 询问 随机 预言 器 获得 ， 
无 法 从 已 经 得 到 的 Hash 函数 对 中 获得 任何 帮助 。 

定理 7.1 假定 hE F(X,Y) 是 随机 选择 的 , 令 X, C X c € Xo 时 的 h(x) 值 通过 查询 有 
的 预言 器 已 经 确定 ,那么 对 所 有 的 TEX\Xo。 和 所 有 的 yEY, d POGO—3 —1/M. 其 
中 M=|Y|。 

上 面 的 概率 实际 上 是 已 知 一 些 Hash 值 的 条 件 概 率 。 

对 于 随机 预言 模型 ,求解 原 像 问题 只 能 用 下 面 的 算法 : 

BA XSEX, HIX | =Q. 


for each x€ X, do 
if (h(x) =y) then return x; 

return failure. 

这 个 算法 是 一 种 (se,Q) 拉 斯 维 加 斯 (Las Vegas) 算 法 。 

用 拉 斯 维 加 斯 算法 找到 一 个 解 , 这 个 解 就 一 定 是 正确 解 。 但 用 拉 斯 维 加 斯 算法 不 一 定 
能 找到 解 。 对 于 所 求解 问题 ,用 同一 拉 斯 维 加 斯 算法 反复 对 该 实例 求解 足够 多 次 ,可 使 求解 
失败 的 概率 小 于 e。 

这 里 求解 原 像 问题 的 成 功 概率 可 简单 求 出 : 

对 于 1<i<Q, 设 E, 表示 第 i 次 查询 成 功 的 事件 , 即 Cro — y 成 立 的 事件 。 根据 前 面 
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的 定理 ,这 些 独立 的 事件 概率 PCEO —1/M. FEA: 
P(E, UE: U=- UEa) —1—(0—1/M)59 
M Q t/h F M ht, PCE, UE, U UEa) ™Q/M. 
类 似 地 ,也 可 以 求解 第 二 原 像 问题 ,算法 如 下 : 
已 知 y-—hG), XSEX \ (1), ERIX | —Q— 1. 


for each x, € X, do 
if(h(xo) =y) then return x; 
return failure. 
同 理 , 求 解 第 二 原 像 问题 成 功 的 概率 是 ， 
PG; UE U + U Eon) —1—ü—1/M)?^* 

求解 碰撞 问题 的 求解 方法 ,也 可 以 类 似 地 给 出 : 

BA XSEX, HIX | =Q. 

for each x€ Xo do 

y=h(x) 
if (y=h(x')) ( for sone x') 
then return(x, x’ ) 

else return failure. 

碰撞 问题 求解 成 功 的 概率 要 复杂 一 些 , 为 此 这 里 引入 一 个 概率 问题 一 一 生日 悖 论 。 

生日 悖 论 来 自 于 生日 问题 ,生日 问题 是 指 在 多 少 学 生 中 ,能 够 保证 至 少 两 个 学 生 的 生日 
在 同一 天 的 概率 不 小 于 1/2? 

答案 是 23, 这 就 是 所 谓 的 生日 悖 论 。 这 里 的 悖 论 只 是 沿用 以 往 的 说 法 而 已 ,并 不 是 真 
正 的 悖 论 , 只 不 过 因为 正确 答案 不 是 很 直观 。 

生日 问题 和 Hash 函数 的 碰撞 问题 有 类 似 之 处 。 

Wh: X>Y 是 一 个 Hash 函数 ,X M Y 都 是 有 限 的 ,并 且 | X1 21Y] X| m. |Y| =n. 

显然 碰撞 是 不 可 避免 的 ,至 少 会 有 个 碰撞 ,问题 在 于 如 何 确定 碰撞 发 生 的 概率 。 一 个 
直观 的 办 法 是 随机 选择 & 个 不 同 的 元 素 zi sane mn E X TE yi h Go OLIO ,然后 
确定 有 多 少 个 碰撞 事件 发 生 。 

这 个 过 程 类 似 于 将 & 个 球 随机 扔 进 ” 个 管子 中 ,然后 检查 是 否 出 现 某 个 乱 子 有 两 个 球 
的 事件 。 

下 面 计算 该 事件 发 生 概率 的 下 界 。 

将 个 球 随机 依次 扔 进 n 个 条 子 后 ,不 发 生 任 何 碰撞 的 概率 是 : 


= 
将 。 一 展开 成 级 数 形式 ， 


当 工 很 小 时 ,可 以 做 近似 处 理 ， 


TÉ. 
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ki P k—1 


I(1-z)« 6 


二 1 i=1 


因此 ,至 少 有 一 次 碰撞 发 生 的 概率 约 为 : 


De 
设 至 少 发 生 一 次 碰撞 的 概率 为 e, 则 : 

M w]e 

解 出 人 得 : 
ka /nln 1 

4 e—0.5 可 得 : 

k 221.17 /n. 
BEA n—365.n[ff.: 

k ~ 22.3 


于 是 证 明了 前 面 的 生日 悖 论 。 

生日 悖 论 给 出 了 安全 Hash 函数 的 一 般 要 求 ,对 于 数字 摘要 来 说 ,通常 40 位 长 的 数字 
摘要 被 认为 是 不 安全 的 。 因 为 随机 计算 1. 17: 27 2120 万 次 的 数字 摘要 ,将 以 1/2 的 概率 
产生 碰撞 。 


7.2 Hash 函数 的 构造 


前 面 介 绍 了 Hash 函数 的 安全 性 ,在 构造 Hash 函数 时 ,往往 希望 构造 出 的 Hash 函数 
能 够 是 强 无 碰撞 的 。 

虽然 无 法 构造 出 真正 的 符合 随机 预言 模型 的 Hash 函数 ,但 构造 出 强 无 碰撞 的 Hash PR 
数 是 可 能 的 。 下 面 就 给 出 一 个 基于 离散 对 数 问题 构造 出 的 Hash 函数 ,这 个 Hash 函数 速度 
不 快 ,以 至 于 难以 实际 应 用 ,但 是 是 一 个 典型 的 强 无 碰撞 的 Hash 函数 。 

Chaum-van Heijst-Pfitzmann Hash 函数 : 假设 p.q 为 满足 p= 二 2g 十 1 的 两 个 素数 , 令 a、 
BH Z, 的 两 个 本 原 元 ,logs8 不 公开 ,构造 Hash 函数 如 下 : 

h Gr a?) = a^ 8” mod p 

Chaum-van Heijst-Pfitzmann Hash 函数 将 {0,1,…,g 一 1)X {0,1,…,g 一 1) 上 的 消息 
映射 到 {1,2,…,p 一 1} 的 Hash 值 上 。 

例 7.1 在 Chaum-van Heijst-Pfitzmann Hash 函数 中 ,已 知 p=1019,q4=509, p=2q+ 
1, 取 : 

a=16, B= 435 


x = (23,37) 


hGri a2) = 16” 435? mod 1019 = 416 
下 面 的 定理 说 明 Chaum-van Heijst-Pfitzmann Hash 函数 是 强 无 碰撞 函数 。 
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定理 7.2 如果 得 到 Chaum-van Heijst-Pfitzmann Hash 函数 的 一 个 碰撞 ,那么 log, 
可 根据 该 碰撞 计算 出 来 。 
WEBB: 假设 (zi c2 HI Cs s x, ) $ Chaum-van Heijst-Pfitzmann Hash 函数 的 一 个 碰 
Ji . Hl: 
Cri x22 Æ Ga) 
Alati sz) = hGa.) 
那么 : 
o^ B^: = o^ f^t mod p 
^^^ = gc mod p 
设 d—gcd( Gr, 25 p— D. DR p—2q--1. BEA: 
d € {1,2,g,2g} 
接 下 来 根据 4 的 4 种 取 值 分 别 讨论 。 
1) d=1 
此 时 ,(zs,z4) 与 p 一 1 互 素 ,因此 x 一 x: 模 p — 1 的 逆 存 在 ,不 妨 设 : 


y = (tı — zx) ! mod(p — 1) 


则 : 
B= BET? = a (mod p) 
于 是 : 
log,g = Gri — 23) Gr, — 29) mod(p—1) 
2) d=2 
此 时 ,因为 p—1—2q. Gs «40 5j q HR Gr, 722) BE q 的 逆 存 在 ,不 妨 设 : 


y= Gr —x;) !modq 


则 : 
(zi 一 zz)y 一 如 十 1 
XB: 
B* —— 1(mod p) 
所 以 : 
poco» = ge = (— pg =+p(mod p) 

于 是 : 

ocn)» = gon? = pCmod p) 

log,g = (xı — 232y mod(p — 1) 
或 


log,g = (xı — x:)y +q mod (p — DD 
3) d=g 
因为 Oca Sq 1.08 q— 1. BEA: 
(q—1) x 2,3, (Q-— EL) 
3X 5 gedC Gr, —23) p — 1) —q 产生 矛盾 ,也 就 是 说 这 种 情况 不 可 能 出 现 。 
4) d —2q 
此 时 : 
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(5»—DI!|G—2) 


TA 
Xa = T2 
q^ = q^ (mod p) 
ri 一 Ts 


这 与 (zi ,zs) 隆 (zs3,z4) 矛 盾 , 说 明 这 种 情况 不 可 能 出 现 。 

总 之 ,如 果 获 得 Chaum-van Heijst-Pfitzmann Hash 函数 的 一 个 碰撞 ,就 能 够 计算 出 
logsB ,也 就 是 说 寻找 Chaum-van Heijst-Pfitzmann Hash 函数 的 一 个 碰撞 和 离散 对 数 问 题 的 
求解 等 价 ,基于 这 个 事实 ,Chaum-van Heijst-Pfitzmann Hash 函数 是 强 无 碰撞 Hash 函数 。 

例 7.2 在 Chaum-van Heijst-Pfitzmann Hash 函数 中 ,已 知 P—1019.4— 509. p=2q+ 
1, 取 : 


消息 1: 
x = (421,35) 
相应 的 摘要 是 : 
hGr, a?) = 7 x 5475 mod 1019 = 267 
WA 2: 
z — (23,37) 
相应 的 摘要 是 ， 


ACz4,z2) 一 73 X 54T" mod 1019 = 267 
于 是 (23,37) 和 (421,35) 发 生 了 碰撞 。 
— gcd(37 — 35,1018) — 2 
适用 第 (2) 种 情况 : 
y = (37 — 35) ! mod 509 = 255 
log;547 = (421 — 23) X 255 mod 1018 = 708 
或 
log;547 — (421 — 23) X 255 十 509 mod 1018 — 199 

容易 验证 : log; 547 —199 是 正解 。 

Chaum-van Heijst-Pfitzmann Hash 函数 是 一 个 不 错 的 强 无 磁 撞 函数 ,但 它 的 定义 域 是 
有 限 的 ,因此 并 不 是 完全 符合 数字 摘要 的 要 求 。 

在 对 消息 做 摘要 时 要 求 不 受 消息 长 度 的 约束 ,于 是 一 种 直观 的 想法 是 将 已 有 的 定义 在 
有 限定 义 域 上 的 Hash 函数 “延伸 ?到 无 限 的 定义 域 上 , 即 “ 扩 展 Hash 函数 ”。 

扩展 Hash 函数 : VEA: CZ" (Zy 是 一 个 强 无 碰撞 的 Hash 函数 ,可 通过 构造 扩展 
Hash PR Zi: 

h” sX = (ZY 
先 考虑 m>t+2 的 情况 , 设 : 
z= z | z | lz E X 

H, |a | = |r| 5 |£. |5m—t—1l. 

|z| 表 示 二 进 制 串 的 长 度 。 不 难得 出 : 
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< 一 | n ] 
m —t—l1 


|x,|— m—t—1—d,0xldzm-—t—2 
具体 扩展 方法 如 下 : 


(1) for i = 1 tou-1 do 

(2) y= x 

(3) ya = 0…0( 通 过 补 0 fif ya] =m- t- 1) 

(4) 4 na dÈ d 的 二 进 制 串 表示 

(5) g - h(0*** | y.) 

(6) for i = 1toudo 

0)9g,57h(g l1] yii) 

(8 hx (x)= ga+i 
HP, y) Sy lys ll yuti 

第 (2) 步 结束 时 ,y, 王 z, || 0*5 BORAR eyes 07 [d 的 二 进 制 表示 。 

以 下 的 定理 说 明 如 果 刀 是 强 无 碰撞 的 ,那么 人 "也 是 强 无 碰撞 的 。 

定理 7.3 VE hi CZ" OZ! 是 一 个 强 无 碰撞 的 Hash 函数 ,m 宇 十 2, 那 么 由 上 面 扩 
展 方法 得 到 的 函数 h" X>) 也 是 一 个 强 无 碰撞 的 Hash 函数 。 

证 明 : 采用 反 证 法 ,证 明 的 思路 是 如 果 函 数 h" 不 是 一 个 强 无 碰撞 的 Hash 函数 ,那么 可 
以 找到 ， 

z zac 
使 得 : 
h* Gr) = h* Gr) 

在 这 种 情况 下 ,如 果 能 够 用 这 个 z 或 x' 构 造 出 h 的 一 个 碰撞 ,就 产生 了 矛盾 ,因为 是 
强 无 碰撞 的 Hash 函数 。 

将 yO M yO HRE JER: 

yla) = y || ye Ile ll Yusi 
ya) = yi ly l yon 

其 中 ,zx 和 zz' 分 别 在 第 (4) 步 级 联 了 d 和 d' 个 0。 

设 在 第 (5) 步 和 第 (7) 步 的 计算 结果 分 别 为 gy ers m nea Bn gets 

如 果 |z| 关 |x | mod(m 一 t 一 1) , 则 d 关 d' ,于 是 : 
Yea 7 Am 
而 : 


Besl il ye — ga =h GO) — À* GD — ga hG'^ ITI ys 
所 以 ga ET I ys 与 go 1I ys 是 一 对 碰撞 。 

如 果 |z| 二 |x | mod(mz 一 上 一 1) ,分 以 下 两 种 情况 讨论 。 
D |z|=|z'| 
此 时 ,u 二 v B ys cas 因为 

Ag | 1l yea? = gn = h* GO = h* GD — gia — hlg, ELI ys 
如 果 gug EA gu lll ys ell ll yo 是 一 对 碰撞 。 
如 果 g,— 82, EA: 
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hGya | 1I y = gua = g= hgh L y.) 
如 果 gui Agn yuAyeh 的 碰撞 就 产生 了 ,否则 继续 往 下 推 ,直到 最 后 : 
hCO*" || s) = m — gi AC"? | y) 
WR y#y h 的 碰撞 产生 。 
不 可 能 对 所 有 1 过 ku 十 1, 都 有 天 y%, 因 为 那样 的 话 
yG) = y(x) 

也 说 明 x 二 x ,与 反 证 法 的 假设 不 符 。 

于 是 ,这 种 情况 下 总 能 找到 的 一 个 碰撞 。 

2) |x| xz | 

不 失 一 般 性 ,假设 |zx 1 Ed , 则 v>u。 

类 似 于 (1) 去 寻找 碰撞 ,如 果 按照 该 方法 没有 找到 碰撞 , 则 必 有 : 

hCo"* | 的 六 二 :站 = B. = hs Il Soit) 

但 0*** || 的 第 :十 1 的 比特 是 0, 而 scu lE 1 IE -的 第 :1 比特 是 1, 所 以 0 yi 与 
T Ill ys-ut1 是 一 对 碰撞 。 

命题 得 证 。 

前 面 的 方法 .定理 都 是 针对 xm 三 上 十 2 的 情况 。 当 m=1 十 1 时 ,扩展 Hash 函数 的 构造 方 
法 与 m 宇 t 十 2 时 的 构造 方法 有 所 不 同 。 

设 |z| 王 ?7 首先 对 工 进 行 一 种 特殊 的 编码 ,编码 由 相应 的 函数 实现 。 

定义 函数 ， 


f(0)=0 
f(1)= 01 

具体 扩展 方法 如 下 : 
(1) 令 y= uyzs«Y.7 11| f(x) I| f(x) I| | E(x) 


(2) & = h(* | yi) 

(3) for i = 1 tou-1 do 

(4) gisi = h(g || mr) 

(5) h* (x) = g, 

在 第 (1) 步 进行 的 vc y 编码 中 ,y(z) 满 足 两 个 重要 性 质 : 

CD 如 果 zx 关 x EA y(x) 关 y(x'); 

(2) 不 存在 两 个 串 x 和 x Goa RT Zi. 

y(z)=Z| y 

即 没有 编码 是 另 一 个 编码 的 后 级 ,原因 是 每 个 >(z) 串 都 是 从 11 开始 ,之 后 串 中 不 会 再 出 
现 11。 

以 下 的 定理 说 明 如 果 h 是 强 无 磁 撞 的 ,那么 h* 也 是 强 无 碰撞 的 。 

定理 7.4 Wh: CZ >Z) 是 一 个 强 无 碰撞 的 Hash 函数 ,那么 由 上 面 扩 展 方法 
得 到 的 函数 /六 :X-~(2Z2) 也 是 一 个 强 无 碰撞 的 Hash 函数 。 

证 明 : 还 是 采用 反 证 法 。 

证 明 的 思路 是 如 果 函 数 h” 不 是 一 个 强 无 碰撞 的 Hash 函数 ,那么 可 以 找到 xz 天 ,使 得 
h* Go) —h* (z)。 在 这 种 情况 下 ,如 果 能 够 用 这 个 工 或 zx 构造 出 /的 一 个 碰撞 ,就 产生 了 
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矛盾 ,因为 刀 是 强 无 碰撞 的 Hash 函数 。 
将 >Cz) 和 y Ge ORB BEN : 
yla) = yi || ys ll yun 


ya = yi M ys M yn 

分 以 下 两 种 情况 来 分 析 。 

A) u—v, 

类 似 于 定理 7. 3 同 阶段 的 证 明 , 要 么 能 找到 的 一 个 碰撞 ,要 么 最 终 得 出 + 二 x ,与 反 
证 法 的 假设 产生 矛盾 。 

(2) uv。 

不 失 一 般 性 ,假设 vu, 类 似 与 1) 的 处 理 方法 ,可 能 找到 4 的 一 个 碰撞 。 

如 果 没 有 找到 碰撞 , 必 有 下 列 等 式 成 立 : 


Yu F yv 

j 
Jea 一 Yra 
J — Yvan 


这 与 编码 规则 的 第 (2) 个 重要 性 质 蔬 盾 , 所 以 一 定 能 找到 4 的 一 个 碰撞 。 

命题 得 证 。 

可 以 将 定理 7. 3 和 定理 7.4 合并 成 一 个 完善 的 定理 。 

定理 7.5 VE hi CZ" (OZ 是 一 个 强 无 碰撞 的 Hash 函数 ,mm 宇 t 十 1, 那 么 由 扩展 方 
法 得 到 的 函数 h" X>) 也 是 一 个 强 无 碰撞 的 Hash 函数 。 


7.3 具有 迭代 结构 的 Hash 算法 


7.2 节 介 绍 了 把 一 个 有 限定 义 域 的 Hash 函数 扩展 到 无 限定 义 域 的 方法 。 不 过 ,从 具体 
算法 来 看 ,Chaum-van Heijst-Pfitzmann Hash 函数 并 不 高 效 。 

在 实际 的 Hash 函数 构造 中 ,具有 和 迭代 结构 的 构造 方法 占 主 流 , 虽 然 还 有 众多 可 选 的 结 
构 , 如 基于 校 验 和 (Checksum) 的 结构 、 基 于 扩展 图 (Expanded Graphs) 的 结构 等 。 

现 有 的 具有 和 迭代 结构 的 哈 希 函 数 大 都 是 基于 MDA 的 设计 准则 衍生 而 来 的 ,因此 通常 
称 这 些 函 数 为 MD4 系列 。MD4 系列 又 可 以 进一步 细 分 为 3 个 子 系列 : MD 系列 ,SHA 系 
列 和 RIPEMD 系列 。 

MD 系列 主要 包括 MD4、MD5 和 HAVAL 等 算法 。 

SHA 系列 主要 包括 SHA-0,SHA-1 和 SHA-2(SHA-224/256 /384/512) 等 算法 。 

RIPEMD 系列 主要 包括 RIPEMD,RIPEMD-128 和 RIPEMD-160 等 算法 。 

下 面 介绍 MD 系列 中 的 MD5 算法 。 

MD5 算法 是 由 Rivest(RSA 中 的 R) F 1991 年 提出 的 Hash 算法 ,是 目前 最 常用 的 
Hash 算法 之 一 。MD5 算法 是 MD4 算法 的 改进 。 

在 MD5 算法 中 ,将 消息 划分 成 512 位 的 消息 块 进行 处 理 , 最 终 形成 128 位 的 信息 摘要 。 
MD5 算法 的 总 体 流 程 如 图 7. 1 所 示 。 
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初始 消息 Y 
Message | 100…0 | 
LX512 位 
一 一 
512 位 
- 
Block0 Block we Blockz| …  |Blockz-1 


es | | 
128 位 
7— HDs =| Hups | Hups =| Hups 
Buffer0 | | | 

Bufferl Buffern BufferL-1 


Y 
128 位 摘要 


7.1 MDS 算法 流程 


下 面 根据 RFC1321, 分 5 个 步骤 实现 MD5 。 
第 1 步 , 补 位 。 补 位 的 目标 是 使 输入 的 消息 长 度 从 任意 值 变 成 一 个 新 的 长 度 ”使 得 : 
n — 448Cmod 512) 
即 通过 补 位 使 新 消息 的 长 度 差 64 位 成 为 512 的 整 倍数 。 
即使 原 消息 的 长 度 正 好 满足 要 求 ,也 需要 进行 补 位 。 
补 位 的 补丁 在 原 消息 之 后 包括 一 个 1, 剩 下 全 是 0。 如 果 原 消息 的 长 度 正 好 满足 要 求 ， 
则 补 位 包括 一 个 1 和 511 个 0。 
第 2 步 ,追加 长 度 。 在 追加 长 度 前 ,通过 补 位 ,消息 长 度 已 经 变 成 模 512 余 448, 接 下 来 
的 追加 长 度 将 在 消息 后 继续 补充 64 位 的 信息 ,新 消息 将 是 512 的 整数 倍 ,可 按 512 位 进行 
分 组 。 
追加 的 长 度 信息 由 64 位 表示 ,被 追加 到 已 补 的 信息 后 ,如 果 原 消息 长 度 超过 64 位 ,只 
使 用 低 64 位 即 可 。 
追加 的 长 度 是 原 消息 的 长 度 ,而 不 是 补 位 后 的 信息 长 度 。 
第 3 步 ,缓冲 区 初始 化 。 为 了 计算 Hash 函数 的 结果 ,首先 需要 设置 128 位 缓冲 区 。 组 
冲 区 除 接受 Hash 函数 最 终结 果 外 ,还 记录 中 间 结 果 。 
在 图 7.2 中 ,将 缓冲 区 分 成 4 等 份 , 即 4 个 32 位 寄存 器 (A、B、C、D) ,每 个 32 位 寄存 器 
也 被 称 为 字 (word)。 
赋 初 值 : 
word A: 01 23 45 67 
word B; 89 ab cd ef 
word C: fe dc ba 98 
word D: 76 54 32 10 
ABCD 构成 Buffer 0, 
第 4 步 , 缓 冲 区 n—n--1. A Buffer 0 开始 ,将 进行 4 回合 运算 实现 缓冲 区 从 nn 到 nn 十 1 
的 迭代 。 
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4 回合 运算 是 四 组 运算 ,而 非 四 次 运算 ,具体 的 运算 过 程 如 图 7. 3 所 示 。 图 中 的 CLS 表 
示 移 位 。 


Buffer n, 128 位 


Block n 32 位 
sog ^p 5| c[p] 32 位 A B c D 
| 一 一 一 第 1 回合 
了 
+ | Func 
| 一 | 第 2 回合 
A[k] —- 
1 1 11 aE: 
cm] 第 3 回合 1 
T[i] — + 
n A, G TT 
Le 第 4 回合 
Epe CLSs 
ERES 
六 pos umi 
quei 
Buffer n+1 A B e D 
图 7.2 缓冲 区 n->n 十 1 示意 图 图 7.3 回合 运算 


在 4 回合 运算 中 ,函数 Func(a,b,c,d) 各 不 相同 ,分 别 为 F(X,Y,2Z)、G(X,Y,2Z)、 
H(X,Y,Z) 和 I(X,Y,2): 
F(X,Y,Z) = CX and Y) or (not(X) and Z) 
G(X,Y,Z) = (X and Z) or (Y and not(Z)) 
H(X,Y,Z) = X xor Y xor Z 
I(X,Y,Z) = Y xor CX or not(Z)) 
图 7. 2 PRIMEA n P s 1 的 迭代 算法 描述 如 下 : 


For i- 0 to N/16- 1 do 
For j=0 to 15 do 


设置 Xx[j] 为 M[ix16+j] 

end 
AA=A 
BB=B 
CC=C 
DD-D 
(第 1 回合 ) 
设 [abcd,k, s,i] 表 示 寄 存 器 运算 :a=b+ ((a+F(b,c,d)+ X[k] +T[i])<<<s) 
[ABCD, 0,7,1] [DABC, 1, 12,2] [CDAB, 2,17,3] [BCDA, 3, 22, 4] 
[ABCD, 4,7,5] [DABC, 5, 12,6] [CDAB, 6,17,7] [BCDA, 7, 22,8] 
[ABCD, 8, 7,9] [DABC, 9, 12,10] [CDAB, 10, 17,11] [BCDA, 11, 22,12] 
[ABCD, 12, 7,13] [DABC, 13, 12,14] [CDAB, 14,17,15] [BCDA, 15, 22,16] 
(第 2 回合 ) 
设 [abcd,k, s, i] 表 示 寄 存 器 运算 : a=b+ ((a t G(b,c,d) + X[k] * T[i])««« s) 
[ABCD, 1,5,17] [DABC, 6,9,18] [CDAB, 11,14,19] [BCDA, 0, 20, 20] 


[ABCD, 5, 5,21] [DABC, 10,9,22] [CDAB, 15, 14,23] [BCDA, 4, 20, 24] 
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ABCD,9,5,25 [DABC, 14,9, 26] [CDAB, 314,27] [BCDA, 8, 20,28] 
ABCD,13,5,29] [DABC,2,9,30] [CDAB, 7,14,31] [BCDA, 12, 20,32] 

(第 3 回合 ) 

设 [abcd,k, s,t] 表 示 寄 存 器 运算 : a - b t ((a+H(b,c,d) + X[k] * T[i])««« s) 
ABCD, 5, 4,33 [DAEC, 8, 11, 34] [CDAB,11,16,35] [BCDA,14,23,36] 
ABCD,1,4,37 [DABC, 4, 11,38] [CDAB, 7, 16,39] [BCDA, 10, 23, 40] 
ABCD,13,4,41] [DABC,0,11,42] [CDAB, 3, 16,43] [BCDA, 6,23, 44] 
ABCD,9,4,45 [DABC,12,11,46] [CDAB,15,16,47] [BCDA,2,23,48] 

(第 4 回合 ) 

设 [abcd,k, s,t] 表 示 寄 存 器 运算 : a=b+ ((a+I(b,c,d) + X[k] * T[i])««« s) 
ABCD, 0, 6,49 [DABC, 7, 10, 50] [CDAB,14,15,51] [BCDA,5,21,52] 
ABCD,12,6,53] [DABC,3,10,54] [CDAB,10,15,55] [BCDA,1,21,56] 
ABCD,8,6,57 [DABC,15,10,58] ^ [CDAB,6,15,59] [BCDA, 13, 21,60] 
ABCD, 4,6,61 [DABC,11,10,62] ^ [CDAB,2,15,63] [BCDA, 9,21,64] 

A=A+AA 

B=B+BB 

C-C*CC 

D=D+DD 

end 


第 5 步 ,输出 结果 。 最 终 将 ABCD 组 合 起 来 ,就 构成 原 消息 的 摘要 。 


例 7.3 已 知 消息 为 "Beijing610104197503172434”, 求 该 消息 的 摘要 。 
'B'=01000010 'e'—01100101 ^"'i'—01101001 
'j'—01101010. 'n'—01101110 'g'—01100111 
'0'—00110000 '1'-00110001 "'2' 00110010 
'3'—00110011 '4'—00110100 "'5' —00110101 
'6'—00110110 '7'—00110111 "'9' —00111001 


WAKEH 200—25 X8, 

200 的 二 进 制 表示 为 : 
“00000000000000000000000011001000” 

M[16]— 
01101010 01101001 01100101 01000010 
00110110 01100111 01101110 01101001 
00110000 00110001 00110000 00110001 
00110111 00111001 00110001 00110100 
00110001 00110011 00110000 00110101 
00110011 00110100 00110010 00110111 
00000000 00000000 10000000 00110100 
00000000 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 400000000 00000000 00000000 
00000000 00000000 00000000 00000000 
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00000000 00000000 00000000 00000000 
00000000 00000000 00000000 11001000 
00000000 00000000 00000000 00000000 
ABCD 赋 初 值 : 
A-—*"01100111010001010010001100000001" 
B—^"11101111110011011010101110001001" 
C—*10011000101110101101110011111110" 
D-*00010000001100100101010001110110" 
3 Es 9E ESI REAE Hash ff 
00001010 00101010 10101110 11000011 10101101 00101000 
11000110 01100101 00011011 00011111 00001100 11011011 
00100111 10000100 10111111 11111010 
将 消息 做 很 小 的 改动 重新 计算 Hash fft. 
Beijing600104197503172434 对 应 的 Hash 值 是 : 
01010101 01000011 10001100 11100000 11000011 10001011 
10110011 11110001 11010101 200001110 01010110 10011010 
10011101 01110001 00000011 11100110 
Beijing610304197503172434 对 应 的 Hash 值 是 : 
11011101 10010000 10000000 10011111 201001011 10101100 
11101110 00001001 10101110 01110110 10111010 11100101 
11000111 00011001 11111011 00110010 
可 见 ,虽然 以 上 各 消息 只 有 一 位 的 不 同 , 但 消息 的 摘要 却 有 很 大 差别 ,这 就 是 所 谓 的 “ 雪 
崩 效 应 ”即使 只 改变 消息 中 的 一 位 ,数字 摘要 也 要 有 50% 的 位 发 生变 化 )。 
RFC1321 对 MD5 算法 也 进行 了 详细 的 描述 ,此 外 MD5 算法 的 应 用 标准 或 草案 还 包括 
以 下 内 容 。 
RFC1828; IP Authentication using Keyed MD5, 
RFC1864; The Content-MD5 Header Field, 
RFC2082; RIP-2 MD5 Authentication, 
RFC2085; HMAC-MD5 IP Authentication with Replay Prevention, 
RFC2385; Protection of BGP Sessions via the TCP MD5 Signature Option, 
RFC2403; The Use of HMAC-MD5-96 within ESP and AH. 
RFC2537; RSA/MD5 KEYs and SIGs in the Domain Name System (DNS), 
RFC3562; Key Management Considerations for the TCP MD5 Signature Option, 
SHA 系列 的 Hash 函数 是 美国 标准 与 技术 研究 所 (NIST) 设 计 的 。1993 4E NIST 公布 
了 安全 Hash 算法 SHA-0. SH A-0 被 美国 政府 核准 作为 标准 , 即 FIPS180 安全 Hash 标准 
(Secure Hash Standard ，SHS) 。 很 快 SHA-0 的 算法 被 发 现 了 弱点 ,1995 年 NIST 公布 了 
SHA-0 的 改进 版 SHA-1. E) FIPSISO-1SHS, SHA-1 的 设计 思想 同样 基于 MD4, 因 此 在 很 
多 方面 与 MD5 算法 有 相似 之 处 。SHA-1 对 任意 长 度 的 明文 可 以 生成 160 位 的 消息 摘要 ， 
可 与 DSA 一 起 使 用 。 


| 
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SHA-1 对 明文 的 处 理 和 MD5 相同 ,第 一 个 填充 位 为 "1”, 其 余 填 充 位 均 为 "0”, 然 后 将 
原始 明文 的 真实 长 度 表 示 为 64 位 附加 在 填充 结果 后 面 。 填 充 后 明文 的 长 度 为 512 的 整数 
倍 , 填 充 完毕 后 ,明文 按照 512 位 分 组 。 

SH A-1 算法 的 循环 次 数 为 明文 的 分 组 数 ,对 每 一 个 明文 分 组 的 操作 有 4 轮 , 每 轮 20 个 
步骤 ,一 共 是 80 个 步骤 。SHA-1 算法 流程 ,如 图 7.4 所 示 。 


初始 消息 | 
Message 100…0 
m LX512 位 E. 
512 位 | 
—- 
Block 0 Block 1 gr Block n| aes Block L-1 
f sauf 51207 i 512 位 
160 位 160 位 ! 
=| Hsu [一 | Hsna 人 -| Hsna =| FSHA 
cvo 
Ci CVn CWL-1) 
Y 
160 位 摘要 


图 7.4 SHA-1 算法 流程 
在 图 7.5 中 ,每 一 步 对 5 个 Word(32 位 ) 进 行 操作 。 这 5 个 字 的 初始 值 为 : 


Y, CV, 
y 160 


CV, 


图 7.5 一 个 分 组 的 运算 
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A — 0x67452301 
B = oxEFCDAB89 
C = 0x98BADCFE 
D — 0x10325476 
E = 0xC3D2E1F0 
SHA-1 中 使 用 了 一 组 逻辑 函数 F, O 表示 操作 的 步骤 数 ,0 二 +79)。 每 个 逻辑 函数 均 
对 3 个 字 的 变量 B,CD 进行 操作 ,产生 一 个 字 的 输出 。 
逻辑 函数 f,(B,C,D) 定 义 如 下 : 


fi(B,C,D)=(B and C) or (not CB) and D) (0<t<19) 

fi(B,C,D)=B xor C xor D (20<1t<39) 
fi(B,C,D)=(B and C)or(B and D)or(C and D) (40<t<59) 
fi.(B,C,D)=B xor C xor D (60xcr 79) 


SHA-1 中 还 用 到 一 组 常数 K, Gr RREI CIC O1 790 ,每 个 步骤 使 用 一 个 。 
这 一 组 常数 的 定义 为 : 
K,=0x 5A827999 (0<t<19) 
K,=0x 6ED9EBAI (20<1<39) 
K,=0x 8FIBBCDC (40<1<59) 
K,=0x CA62CID6 (60<1<79) 
将 明文 按照 规则 填充 ,然后 按照 512 位 分 组 为 M(1)、M(2)、…、M(L), 对 每 个 512 位 的 
明文 分 组 MG 操作 如 下 (图 7.6)。 


CLS; 


n 


图 7.6 单个 回合 的 运算 


CD 将 512 位 的 一 个 明文 分 组 又 分 成 16 个 字 的 子 分 组 Mo Mi Mis ,Mo 是 最 左边 的 
一 个 子 分 组 。 
(2) 再 按照 以 下 法 则 将 16 个 字 的 子 分 组 变换 成 80 个 字 的 分 组 Wo, Wi Ws 
W,—M, (Oxcrm 15) 
W, =W,- xor W,-s xor W, wu xor W,_1  (16xct«c 79) 
O 将 5 个 工作 变量 中 的 数据 复制 到 另外 5 个 记录 单元 中 , 令 : 
A = H0 
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B = H1 
C= H2 
D = H3 
E = H4 


(A) 进行 4 轮 共 80 个 步骤 的 操作 ,t 表示 操作 的 步骤 数 ,0<t<79: 
TEMP = A<<<=5+F(B,C,D)+E+W,+K, 
E= DD = CC = B ««« 30B — AA = TEMP 
O) 第 4 轮 的 最 后 一 步 完成 后 ,再 作 运算 : 


H0 = H0—- A 
H1 = H1+B 
H2 = H2+C 
H3 = H3 + D 
H4 = H4 +E 


以 上 “十 "是 指 mod 2* 的 加 运算 。 得 到 的 5 个 记录 单元 中 的 HO、H1、H2、H3 FI H4 成 
为 下 一 个 分 组 处 理 时 的 初始 值 。 等 最 后 一 个 明文 分 组 处 理 完毕 后 ,5 个 工作 变量 中 的 数值 
连接 后 就 成 为 最 终 的 Hash fü 
例 7.4 已 知 消息 是 “Beijing610104197503172434”, 则 相应 的 SHA-1 值 是 : 


00101110 01011001 
00010010 00011011 
11100011 11111000 
11101111 10010101 

将 相应 的 消息 仅 变 动 一 位 
11000000 01011010 
01111110 11101101 
00011100 00010110 
00011001 10011110 
NIST £r 2002 4E 8 H 1 H fii f FIPSI80-2CSHA-2) 以 替换 FIPSIS0-1CSHA-D) ,并 

附加 3 个 可 以 产生 较 大 长 度 消息 摘要 的 算法 。 在 FIPSI80-2 中 描述 的 SHA-1. 算法 和 

FIPS180-1 中 描述 的 SHA-1 算法 相同 ,但 为 了 与 SHA-256, SHA-384 和 SHA-512 保持 一 

致 ,也 做 了 一 些 符号 上 的 改动 。 
FIPS180-2 中 的 4 个 算法 在 明文 分 组 的 长 度 和 计算 过 程 中 的 使 用 的 基本 单元 数 方面 有 

所 不 同 , 如 表 7.1 所 示 。 


11000111 


01011111 01110010 


10001011 


11110110 11001001 00001110 


10000011 11010010 


11111111 11101101 11010001 


:“Beijing600104197503172434”, 则 相应 的 SHA-1 值 是 : 


10010111 01010001 
00100010 01000110 


10000110 


11001011 01100011 
00111110 01101111 


11010110 10110110 11100111 


表 7.1 FIPS180-2 中 的 4 个 算法 的 比较 


算法 消息 长 度 (位 ) | 分 组 长 度 ( 位 ) 字 长 (位 ) 消息 摘要 长 度 ( 位 ) | 安全 性 (位 ) 
SHA-1 «M 512 32 160 80 
SHA-256 «n 512 32 256 128 
SHA-384 «s 1024 64 384 192 
SHA-512 «aus 1024 64 512 256 
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1. SHA-256 
SH A-256 能 够 对 一 则 长 度 为 工 的 消息 M 产生 Hash ffi. 0 L-—2" 。 
在 该 算法 中 ,使 用 了 一 个 由 64 个 32 位 单元 构成 的 消息 表 (Message Schedule) ,8 个 字 
的 工作 变量 和 中 间 值 ,最 终生 成 256 位 的 消息 摘要 。 
消息 表 记 作 W。 Wir Wo ,8 个 工作 变量 记 作 a 、b、c、d、e、f.g 和 关 , 中 间 值 记 作 Ho. 
HP ,HP 。 
互 "" 用 指定 的 数值 初始 化 ,运算 过 程 中 不 断 被 每 个 分 组 处 理 完 成 后 的 中 间 值 HO 替代， 
最 终 被 最 后 互 ” 蔡 代 ,SHA-256 也 使 用 了 两 个 临时 变量 T, 和 T. 
1) SHA-256 的 预 处 理 
(1) 类 似 前 面 的 方式 ,按照 规则 填充 消息 M。 
(2) 将 填充 后 的 消息 分 成 工 个 512 位 的 分 组 MO M? ve MP, 
(3) 用 十 六 进 制 数 初始 化 8 个 工作 变量 HO; 
Hi? = 0x 6a09e667 
HÍ" = 0x bb67ae85 
HP = 0x 3c6ef372 
1? = Ox a54ff53a 
Hi? = 0x 510e527f 
H$" = 0x 9b05688c 
HP = 0x 1f83d9ab 
H$% = 0x 5be0cd19 


2) SHA-256 的 迭代 计算 
SHA-256 用 函数 和 常量 来 计算 中 间 结 果 和 最 终 Hash 值 , “十” 均 指 mod 22 的 模 加 法 。 
预 处 理 完成 后 ,将 每 个 消息 分 组 分 成 16 个 字 的 子 分 组 ,再 按 以 下 规则 变换 成 64 个 字 的 
子 分 组 ,组 成 一 个 有 64 字 单 元 的 消息 表 , 按 次 序 依次 进行 处 理 。 
For i=1 toL: { 
(1) 计算 产生 消息 表 {W.}: 
W = M? 0<t<15 
We = ds (We-2) + Wl. toi (Weis) + W-ie 16<t<63 
(2) 以 第 i-i 圈 的 计算 结果 初始 化 8 个 工作 变量 a, b, c, d, e, f, g fh: 


a= HD b-Hj^? 
c= pn d-mg-? 
e- no? 上 = 到: 
g-H^? — nce? 


(3) 
Fort = 0to63:( 
T, .h+ XÍ"* (e) + Ch(e,f,g) + K^?" +W, 
T, . 22079 (a) + Maj(a,b,c) 


- 


aoma 
nonno 
o 
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e cb 

b-a 

a=T +T 

} 

(4) 计算 第 i GERI rp aL (B? : 

H =a Hif? HY = b+ gin 
HP =c + gus HÜ =d+ HD 
HP =e Hif? Hi) =f + 
HY =g + Hes HY =h+ HW- 


: 

经 过 上 次 迁 代 之 后 ,消息 M 最 终 的 256 位 消息 摘要 是 8 个 工作 变量 连接 后 的 数据 ， 
HP | Hi^ | Hf? | HP | HP I HP | HP HP 

2. SHA-512 


SHA-512 能 够 对 一 则 长 度 为 工 的 消息 M 产生 Hash ff. 0«L-—2"* , 
在 该 算法 中 ,使 用 了 一 个 由 80 个 64 位 单元 构成 的 消息 表 ,8 个 64 位 的 工作 变量 和 中 
间 值 ,最 终生 成 512 位 的 消息 摘要 。 
消息 表 记 作 WoW; 、…、Ws ,8 个 工作 变量 分 别 记 作 abcde, fg 和 h ,中 间 值 记 作 
HPHP yH 
HW 用 给 定 的 数值 初始 化 ,运算 过 程 中 不 断 被 每 个 分 组 的 中 间 值 HO 代替, 最终 被 最 后 
HP R, SHA-512 也 使 用 了 两 个 临时 变量 T, RIT». 
1) SHA-512 的 预 处 理 
(1) 按照 规则 填充 消息 M., 
(2) 将 填充 后 的 消息 分 成 二 个 1024 位 的 分 组 MO MO? oe MP, 
G) 用 十 六 进 制 数 初始 化 8 个 工作 变量 H” 
H = 0x 6a09e667 f3bcc908 | Hf? = 0x bb67ae85 84caa73b 
H® = 0x 3c6ef372 fe94f82b HP® = 0x a54ff53a 5f1d36f1 
HÍ" = 0x 510e527f ade682d1 H$” = 0x 9b05688c 2b3e6clf 
Hi? = 0x 1f83d9ab fb4lbd6b H = Ox 5beOcd19 137e2179 
2) SHA-512 的 迭代 计算 
SHA-512 的 迭代 计算 用 到 函数 和 常量 ,运算 中 的 “十 ?都 是 mod 2% 的 加 法 。 
预 处 理 完成 后 ,将 每 个 消息 分 组 成 16 个 64 位 的 子 分 组 ,再 按 以 下 规则 变换 成 80 个 64 
位 的 子 分 组 ,组 成 一 个 有 80 个 64 位 单元 的 消息 表 , 按 次 序 依 次 处 理 。 


For i=1 ToN: { 
(1) 对 预 处 理 后 的 消息 产生 消息 表 {W.}: 
W, = MD 0<t<15 
We = sfe (We -2) + 由- + sOU (Wo) W- 16<t<79 
(2) 用 第 i-1 次 类 代 的 中 间 值 初始 化 8 个 工作 变量 a b, c, d, e, f,g 和 h: 
a-H(^? pomis 
c-Hé? d=- 
e-H-? 于 = HG 
g-Hp? h= g- 
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(3) 
For T=0 To 79 ( 
T, - ht Xf"? (e) + Ch(e £,9) + K^" +W, 
T, = Xi?" (a) + Maj(a, b,c) 


"ow "on wd n" 
vraa ma 
+ 
B 


" 
5 


— 9» vc000 "uc: 
" 
$ 
is 


(4) 计算 第 i 次 迭代 的 中 间 值 BO? : 


H =a+t Hi^» HË = b+ Hi^» 
HY =c+ Hj» Hí)-d4 Hi^» 
HË =e+ H^? HP) =f gis 
HË =g+ H^? HY) = h+ Hi^» 


经 过 N 次 迭代 后 ,消息 M 最 终 的 512 位 的 消息 摘要 是 8 个 工作 变量 连接 而 成 的 数据 : 
HP | HP | HP | HP? | HP | Hi? | HP | HP 
3. SHA-384 
SHA-384 能 够 对 一 则 长 度 为 工 的 消息 M 产生 Hash f .0-L-—27*,. AARAA T WA 
点 外 ,其 余 与 SHA-512 基本 相同 。 
CD 工作 变量 有 "按照 以 下 值 进行 初始 化 : 


(2) 最 终 得 到 的 Hash 值 是 最 后 一 次 迭代 的 中 间 值 五 ”最 左 端的 384 位 : 


例 7.5 已 知 消息 是 “Beijing610104197503172434”, 则 相应 的 SHA-256 算法 的 Hash 


函数 值 是 : 
01011000 
00110111 
10111111 
00001100 
00000100 
11110100 


HP® = 0x cbbb9d5d c1059ed8 
H{® = 0x 629a292a 367cd507 
H$ = 0x 9159015a 3070dd17 
H1" = 0x 152fecd8 f70e5939 
Hi? = 0x 67332667 ffc00b31 
Hf? = 0x 8eb44a87 68581511 
HP = 0x db0c2e0d 64f98fa7 
H = 0x 47b5481d befa4fa4 


HP | HP | HP | HP | HP | HP 


11110011 
00110110 
11011110 
00011110 
10111110 
11111101 


11100011 
11010010 
00110110 
11000001 
00000000 


10010101 
00111011 
00101110 
11111110 
10110010 


00000000 
11100101 
00110000 
00000111 
00111111 


10010011 
00000100 
10101010 
01100111 
10011110 
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相应 的 SHA-384 算法 的 Hash 函数 值 是 : 
01110100 00100000 10001111 01010010 11100100 11010100 
10100100 11101011 01011101 10000010 11110110 00001001 
00001001 01101110 11001010 10010011 00011000 10001111 
00101101 11001100 01111000 11000011 10100111 10111101 
11110110 10111010 10101001 01101000 00110111 00101000 
00001110 01010011 00110011 11010010 10011011 10111010 
00000010 10000100 00000110 00100111 01011010 11000010 
01011000 00110000 10100011 11101111 10011010 00110111 
相应 的 SHA-512 算法 的 Hash 函数 值 是 : 

00111110 10100000 10001011 01100011 10101001 11010001 
00110110 10000100 00111001 10101100 10001110 11101010 
00011000 10011000 11111000 01011010 201010011 11010100 
01111111 10011000 10101101 11111011 11101000 00100010 
00010000 10100101 10110111 11010000 200110011 01011000 
01101011 10000110 01011110 10110001 11001100 11100101 
00000100 01001000 11010011 11001010 200111110 00110010 
01111010 10101000 00101101 11110101 10110101 10100001 
00111011 00101001 00000111 01001011 11110010 00001101 
01011010 10010110 10010110 01100111 00000101 10000010 
01001010 01001000 01111001 10011110 


7.4 消息 认证 码 


前 面 提 到 Hash 函数 的 一 个 作用 是 配合 数字 签名 的 实施 。 在 数字 签名 之 前 ,需要 先 对 
消息 进行 Hash 函数 运算 ,压缩 成 一 定 的 长 度 。Hash 函数 还 有 另外 一 个 重要 的 作用 就 是 数 
据 完整 性 验证 。 

所 谓 数 据 完整 性 ,是 指 防 止 数据 未 经 授权 的 算 改 ,是 信息 安全 的 一 项 基本 要 求 。 为 保证 
接收 到 的 消息 与 原 消息 相同 ,可 验证 原 消息 的 Hash 函数 值 和 收 到 消息 的 Hash 函数 值 是 否 
相同 。 从 前 面 的 例子 可 以 看 到 ,即使 仅仅 是 1 位 的 变化 ,也 能 使 Hash 函数 值 变 得 面目 全 
非 。 一 般 来 讲 , 数 据 完整 性 的 破坏 可 能 有 两 个 原因 ,一 种 是 传输 过 程 中 的 差错 , 另 一 种 是 人 
为 蓄意 算 改 。 无 论 是 哪 种 情况 下 的 数据 完整 性 保护 ,Hash 函数 都 是 适合 的 。 

验证 数据 完整 性 ,又 称 消息 认证 (Message Authentication)。 

前 面 介绍 的 Hash 函数 都 是 无 须 密 码 的 ,但 在 有 些 场合 下 却 需要 密码 。 例 如 ,发 送 方 通 
过 公开 信道 将 消息 发 送 给 接收 方 ,接收 方 不 仅 希 望 收 到 消息 本 身 , 还 要 确定 消息 是 否 来 自 合 
法 的 发 送 方 。 此 时 ,就 需要 发 送 方 和 接收 方 共享 一 个 密 钥 ,在 进行 Hash 运算 时 使 用 到 这 个 
密 钥 。 带 密 钥 的 Hash 函数 是 一 种 消息 认证 码 (Message Authentication Code. MAC), 

在 图 7.7 中 ,MAC 二 Ck(M) 是 消息 和 密 钥 的 函数 。 虽 然 带 密 钥 的 Hash 函数 可 以 构造 
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出 MAC, 但 反 过 来 ,MAC 并 不 是 只 能 通过 Hash 函数 来 构造 。 
通过 Hash 函数 来 构造 MAC 的 关键 是 如 何 将 密 钥 加 入 到 Hash 过 程 中 。 


K 
P MAC 
- M © 
M ' 
MAC Des 
= 
MAC 


K 
B 7.7 MAC 原理 图 


可 以 选取 一 个 具有 迭代 结构 的 Hash 函数 来 构造 ,如 图 7. 8 所 示 。 下 面 以 用 SHA-1 构 


造 的 HMAC 为 例 来 介绍 。 
y 


7.8 和 迭代 结构 的 Hash 函数 


WEIL a Gri ,zx2，… ,zrL-1), 其 中 xz; 是 长 度 为 6 的 块 ,在 SHA-1 算法 中 5b=512,i 二 
1 ,LL 一 1,L 一 1 是 总 块 数 。zxi 也 是 长 度 为 6 的 二 进 制 串 ,其 中 包含 了 xz 最 后 不 足 5 的 部 
分 和 整个 消息 长 度 的 二 进 制 编码 以 及 其 他 填充 位 。 
IV 代表 初始 变量 ,其 长 度 为 gq, 在 SHA-1 算法 中 q—160,. WH k 的 长 度 通常 小 于 或 等 
Fb iK RRK 用 0 填充 到 4 位 的 结果 。Ipad 和 Opad 是 5 位 的 常量 二 进 制 串 : 
Ipad—3636--:36 
Opad —5C5C--5C 


» 


y 


那么 
HMACk (x)= Hash(CK'GOpad) || Hash ((K'®Ipad) || 32) 

作为 一 种 消息 认证 码 ,HMAC 简单 而 高 效 ,目前 已 经 取代 了 RFC1828 成 为 IPSec 协议 
中 的 认证 算法 。 

另 一 类 主流 的 MAC 构造 方法 是 基于 分 组 密码 的 CBC (Cipher Block Chaining) 模 式 构 
造 的 MAC, 如 图 7.9 所 示 。 

设 消息 M=Di || D; || …|DN, 使 用 对 称 分 组 加 密 体 制 ( 如 DES) ,分 组 长 度 m (E DES 
中 mm 二 64)。 不 妨 设 0, 二 初始 值 , 则 : 

OL = Ex) 
最 终 的 CBC-MAC 为 : 
G = Ow 

CBC-MAC 已 被 很 多 国际 组 织 和 机 构 定 为 标准 ,如 标准 ANSI X9. 9、FIPS-PUB113 和 

ISO/IEC9797-1, 
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Time=1 Time=2 Time-N-1 Time-N 
D 1 
(64bits) b Da Dy 
LL. $ P 
K DES e g= DES ka DES 
(56bits) 加 密 加 密 加 密 
I 
Y Y 1 | Y 
M zd i * 
(64bits) o Oa Ov 
SEE 
DAC 


(16 到 64bits) 
7.9 CBC-MAC 示意 图 


接 下 来 讨论 MAC 抗 穷 举 攻 击 的 安全 性 。 对 MAC 的 穷 举 攻击 是 指 给 定 任意 长 度 的 消 
息 和 相应 的 MAC 求 可 能 的 密 钥 。 
i MAC 的 长 度 为 n 位 ,于 是 将 有 27 个 可 能 的 MAC ,消息 的 数量 一 般 应 大 于 MAC 的 
数量 , 设 为 NCN 三 2") , 密 钥 的 长 度 为 A, 表 明 有 2 个 可 能 的 密 钥 。 
假设 攻击 者 已 经 获得 消息 的 明文 和 相应 的 MAC, 即 (M;,MAC;) 。 
第 1 轮 : 给 定 Mi 和 MAC 二 Ck (Mi), 对 所 有 2* 个 可 能 的 密 钥 计 算 : 
MAC, = Ci (Mi) (i= 1,2,7,2*) 
发 现 匹 配 的 数量 约 为 2 “, 得 到 2*“" 个 可 能 的 密 钥 。 
第 2 轮 : 给 定 M 和 MAC, —Ck (Mi), 对 前 面 得 到 的 2“ 个 可 能 的 密 钥 计算 : 
MAC, = Cr (Ms) Gc 1,2,",2c) 
发 现 匹 配 的 数量 约 为 2:”, 得 到 2* ”个 可 能 的 密 钥 。 
如 果 k>n( 设 k= 二 aXn), 则 这 种 攻击 要 得 到 密 钥 ,需要 进行 a 轮 运算 , 即 一 共 需 要 aX2* 
次 以 上 的 MAC 运算 。 
如 果 en WIS 1 轮 就 可 以 产生 一 个 唯一 对 应 的 密 钥 ,但 仍然 可 能 有 两 个 或 两 个 以 上 
的 密 钥 产生 这 一 消息 MAC 对 ( 当 上 二 nn 时 ), 这 时 攻击 者 需 对 一 个 新 的 (M MAC: ) 进 行 相 
同 的 计算 ,因此 也 需要 大 于 2* 次 的 MAC 运算 。 
综 上 所 述 ,无 论 k>n 还 是 kn, 攻 击 者 要 获得 密 钥 都 至 少 需要 2* 次 的 MAC 运算 。 由 
此 可 见 , 攻 击 者 企图 发 现 MAC 的 密 钥 不 小 于 甚至 大 于 对 同样 长 度 的 解密 密 钥 的 攻击 ,对 
MAC 的 穷 举 攻击 意义 不 大 。 


Et 


7.5. 2] 题 


1. 用 Chaum-van Heijst-Pfitzmann Hash 函数 对 消息 xz 二 (23,37) 进 行 数字 摘要 ,具体 
参数 为 p 二 1019,g 二 509,a 二 16,B 二 435。 
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2. 将 10 个 球 随机 扔 进 1000 个 篮子 中 , 试 求 不 出 现 同一 个 篮子 中 有 两 个 及 两 个 以 上 球 
的 概率 。 

3. 用 MD5 对 以 下 消息 进行 摘要 : 

(1) “beijing2008” 

(2) "ChaumvanHeijstPfitzmannHashFunction" 

4. 简 述 Hash 函数 与 消息 验证 码 的 关系 。 

5. 给 定 Hash K% h 和 任意 给 定 的 消息 m，, 寻找 一 个 m,m om. fif hn) =h) 


的 问题 称 为 。 问题 。 

6. 在 MD5 算法 中 ,将 消息 划分 成 位 的 消息 块 进行 处 理 ,最 终 形成 位 
的 信息 摘要 。 

7. 在 MD5 算法 中 ,追加 的 长 度 信息 由 位 表示 ,被 追加 到 已 补 的 信息 后 ,如 果 
原 消 息 长 度 超过 位 ,只 使 用 即 可 。 

8. SHA-1 算法 的 循环 次 数 为 明文 的 分 组 数 ,对 每 一 个 明文 分 组 的 操作 有 轮 ， 
每 轮 个 步骤 。 

9. SHA-384 算法 的 分 组 长 度 是 位 , 字 长 是 位 ,消息 摘要 长 度 


是 位 。 


第 8 章 密 钥 管理 与 公 钥 基础 设施 


无 论 是 对 称 密码 系统 还 是 公 钥 密码 系统 ,系统 安全 的 焦点 是 密 钥 。 本 章 主要 介绍 两 方 
面 的 技术 : 

(1) 密 钥 的 分 发 和 协商 方面 的 技术 ; 

CD 公 钥 基础 设施 的 概念 及 其 相关 技术 。 


8.1 密 钥 预 分 发 方案 


应 该 说 , 公 钥 密码 系统 比 对 称 密码 系统 更 适 于 加 密 通 信 , 因 为 在 公 钥 密码 系统 中 通信 双 
方 无 须 共 享 同一 个 密 钥 ,也 就 省 去 了 传输 密 钥 的 过 程 ,安全 性 更 高 。 但 是 ,实际 上 从 速度 方 
面 讲 公 钥 密码 系统 却 要 差 一 些 。 因 此 ,在 具体 应 用 中 ,仍然 是 通过 对 称 密码 系统 来 实现 加 密 
信息 或 消息 ,而 公 钥 密码 系统 则 可 以 用 来 产生 对 称 密码 系统 的 密 钥 , 或 加 密 少 量 的 重要 
信息 。 

因此 公 钥 密码 系统 淘汰 对 称 密码 系统 是 不 切实 际 的 ,然而 只 要 使 用 对 称 密码 系统 ,就 存 
在 共享 密 钥 分 发 与 协商 的 问题 。 密 钥 分 发 是 指 通信 一 方 将 密 钥 分 发 给 其 他 几 个 通信 参与 
方 ; 密 钥 协商 则 是 指 通信 双方 在 一 个 公共 通道 上 协商 共享 密 钥 。 

密 钥 分 发 通常 有 三 方 或 三 方 以 上 的 参与 者 ,那么 需要 有 一 个 密 钥 分 发 中 心 (Key 
Distributed Center,KDC) 值 得 大 家 信赖 ,并 负责 为 大 家 准备 密 钥 。 根 据 通信 过 程 中 密 钥 分 
发 的 时 机 来 分 , 密 钥 分 发 一 般 分 为 预 分 发 和 在 线 分 发 两 种 。 

事先 分 发 好 的 密 钥 ,通常 有 效 期 较 长 ,并 且 能 够 在 有 效 期 内 反复 使 用 。 接 下 来 介绍 的 
DH 密 钥 分 发 方案 是 建立 在 离散 对 数 问题 基础 上 的 一 种 密 钥 预 分 发 方案 。 

DH 密 钥 分 发 方案 : 公开 一 个 素数 p, 取 a€ Z; 。 

V 计算 : 

Kuv 一 au mod p = by mod p 
其 中 ,bu 从 UU 的 证 书 中 得 到 ,ay 是 自己 的 私 钥 。 

U 计算 : 

Kuv 一 au mod p = b, mod p 
其 中 ,by M V 的 证 书 中 得 到 ,ar 是 自己 的 私 钥 。 

例 8.1 在 UV 之 间 实 施 DH 密 钥 分 发 方案 。 

公开 一 个 素数 p —25 307 和 相应 的 生成 元 a 二 2。 

U 选择 私 钥 au 王 3578, 并 计算 出 公 钥 : 

by = 255 mod 25 307 = 6113 
将 如 放 进 自己 的 证 书 中 。 
V 选择 私 钥 au 二 19 956 ,并 计算 出 公 钥 : 
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by = 2995 mod 25 307 = 7984 
将 姑 放 进 自己 的 证 书 中 。 
V 计算 : 
Kuv = 6113? 55 mod 25 307 = 3694 
bu 可 从 U 的 证 书 中 得 到 。 
U 计算 : 
Kuv = 79845 mod 25 307 = 3694 
by 可 从 V 的 证 书 中 得 到 。 
DH 密 钥 预 分 发 方案 是 一 种 设计 巧妙 并 且 安 全 性 很 高 的 方案 。 
但 是 ,如 果 n 个 通信 方 需要 相互 通信 ,那么 KDC 需要 维护 n(n 一 1)/2 个 不 同 的 密 钥 , 因 
为 任意 两 个 通信 方 之 间 的 密 钥 应 该 不 同 。 这 些 密 钥 的 维护 量 非 常 大 ,需要 分 配 很 大 的 空间 ， 
尤其 当 考 虑 到 密 钥 的 定期 更 新 时 ,问题 就 更 加 突出 。 
针对 这 个 容量 问题 , 下面 来 看 Blom 密 钥 预 分 发 方案 。 
Blom 密 钥 预 分 发 方案 : 公开 素数 p, 对 每 个 用 户 U,rv€ Zs 也 被 公开 ,对 于 不 同 的 用 户 
ru 互 不 相同 。 
KDC 选择 3 个 随机 数 a、b、cE Z, C3 个 随机 数 不 必 各 不 相同 ) ,构成 多 项 式 
f(z1y) =at+b(r+i+y)+ery mod p 
对 于 每 一 个 用 户 U,KDC 计算 出 : 
gu(x) = fCGr.ry) mod p 
然后 将 gu(z) 通 过 安全 通道 发 送 给 U,sgu(z) 可 标识 成 : 
gu Cr) = ay + bur 
如 果 U 和 V 需要 通信 ,他 们 可 以 使 用 密 钥 : 
Kuv= Kyu = fGu. rv) = a +b(ru 4 ry) 4 cGrury) mod p 
其 中 ,U 获得 密 钥 天 uv 的 办 法 是 : 


gu(Crv) = ay 十 borv 


V 获得 密 钥 Kuwv 的 办 法 是 : 


gu(ru) = ay + buru 
$18.2 在 UV、W 之 间 实 施 Blom 密 钥 分 发 方案 。 
CD 公开 素数 p=31, 4 MHP UV W ,选择 : 
ry — 13. ry, — 1l. rw —65 


(2) KDC 选择 3 个 随机 数 : 


构成 多 项 式 选择 
fiy) 一 5 十 6(z 十 y) 十 7zy 
G) 对 于 用 户 UV、W ,KDC 分 别 计算 出 : 
gu (x) = f(x,13) mod 31 
gy Gr) = fGr.11) mod 31 
gw(x) = f(r,5) mod 31 
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也 可 写成 : 
Bu Cr) = ay + bux = 21 + Ax 
gv(x) = ay + byx = 9 21x 
gw(x) = aw +bwx = 29 + 10x 
然后 将 gu GO 、gvcz) 、gw(z) 分 别 通 过 安全 通道 发 送 给 UV 和 W。 
(4) WR U MV 需要 通信 ,他 们 可 以 使 用 密 钥 : 
Kuv= Kyu = flrv, ry) 
= a d- bGry 4- ry) +c(rury) mod p 
—54-6x 03-4-1D 4-7X13X 11 mod 3 
一 3 
其 中 ,U 获得 密 钥 Ku,v 的 办 法 是 : 
gu(ry) = ay +buyry = 21-- 4 X 11 (mod 31) = 3 
V 获得 密 钥 Kuwv 的 办 法 是 : 
gv Gro) = ay +byru = 90-21 X 13 (mod 31) = 3 
同 理 ,如 果 U 和 W 需要 通信 ,他 们 都 可 以 计算 相互 间 的 通信 和 密 钥 : 
Kuw = Kw, = 10 
如 果 V RW 需要 通信 ,他 们 也 都 可 以 计算 相互 间 的 通信 和 密 钥 : 
Kyy = Kgy — 21 
图 8.1 是 Blom 密 钥 预 分 发 方案 的 示意 图 。 
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图 8.1 Blom 密 钥 分 发 示意 图 


8.2 密 钥 在 线 分 发 方案 


假设 通信 各 方 已 各 自 拥 有 自己 的 密 钥 , 而 该 密 钥 除了 自己 和 KDC 之 外 再 无 人 知晓 。 
当 通 信和 双方 需要 通信 时 ,比较 成 熟 的 做 法 是 在 现 有 条 件 下 ,产生 一 个 新 的 临时 的 相互 通信 的 
密 钥 , 这 个 密 钥 也 称 为 会 话 密 钥 (Session Key). 

在 线 式 密 钥 分 配 协议 每 次 产生 的 会 话 密 钥 是 随机 的 ,也 就 是 说 密 钥 随时 在 更 新 , 避免 
了 由 于 一 个 密 钥 使 用 过 入 而 存在 的 密 钥 泄露 隐患 ， 从 而 提高 了 保密 通信 的 安全 性 。 
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Needham Schroeder 密 钥 分 发 协议 : 
U-—KDC: ID) || ID(D || Ni 
KDC—U; ErvLKs | IDCV)] | Ni ly Exy[ Ks Il ID(U)] 


U>V: ExLKs || IDQUD ] 
V-—U: Exs (N;) 
U>V: Ers CfCN2)) 


其 中 ,ID(U) 和 ID(V) 表 示 U 和 VV 的 身份 信息 ; Ku, Kvi U 和 V 的 私 钥 ,Ks 是 需要 在 线 分 
发 的 会 话 密 钥 ; Ni 和 N;: 分 别 是 两 个 随机 数 ; f(N;) 是 事先 约定 的 一 个 函数 ,为 简单 起 见 ， 
一 般 取 f(Ns)= N, 一 1。 

假定 攻击 者 已 知 一 个 旧 会 话 密 钥 ,他 可 以 从 第 (3) 步 开始 假冒 A 并 重 放 。 


P(U)—V: ErkvLKs || IDU) ] 
V-—PGOD: Exs (N;) 
P(U)—V: Exs (f(N;)) 


可 见 , 不 能 有 效 地 防范 重 放 攻击 是 Needham_Schroeder 密 钥 分 发 协议 的 一 个 缺陷 。 为 
此 ,有 以 下 的 改进 方案 。 


Denning 方案 : 
U--KDC; IDU) || IDV) 
KDC—U: Exw[LKs | IDVWIN TI ExvCKs | IDW) || TJ 
U>V, Euxv[Ks|1IDCU) || T] 
V>U: ExsLN1] 
U>V: EssLf GN] 
U ftl V 通过 下 式 来 验证 及 时 性 : 


| Clock — T | < An + Atz 

其 中 ,An 是 KDC 与 本 地 的 时 钟 差 ; Ats 是 网 络 延 时 。 

但 是 ,显然 Denning 方案 对 时 钟 过 于 依赖 。 

基于 Needham Schroeder 密 钥 分 发 协议 还 有 很 多 其 他 的 改进 方案 ,其 中 最 有 名 的 莫 过 
于 Kerboros 协议 。 

Kerboros 的 本 意 是 希腊 神话 中 地 狱 之 门 的 守护 者 ,该 守护 者 是 一 个 有 两 个 头 的 怪物 。 
在 网 络 通信 模型 中 ,Kerboros 的 角色 实际 上 正 是 KDC。 

Kerberos 协议 是 美国 膝 省 理工 学 院 在 20 世纪 80 年 代 中 期 开发 的 雅典 娜 (Athena) 项 
目 中 的 一 个 部 分 。Kerberos 协议 可 以 既是 一 种 在 线 密 钥 分 发 系统 ,也 可 以 看 成 是 一 种 身份 

作为 在 线 密 钥 分 发 系统 , Kerberos 协议 采纳 了 Denning 和 Sacco 对 Needham _ 
Schroeder 协议 的 改进 建议 ,在 身份 验证 协议 中 引入 了 时 间 戳 。 

作为 身份 验证 系统 ,Kerberos 使 得 网 络 服务 器 可 以 验证 网 络 用 户 的 身份 ,无 须 用 户 在 
网 络 上 明文 传递 密 钥 。 

Kerberos 的 最 初版 本 是 版 本 3, 仅 供 内 部 使 用 ,而 版 本 4 是 一 个 投入 实际 应 用 的 系统 。 
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Kerboros 密 钥 分 发 协议 : 
(OD U 向 KDC 申请 一 个 密 钥 用 于 与 V 通信 ; 
(2) KDC 选择 一 个 随机 密 钥 Ks ,加 上 一 个 时 间 戳 TI 和 一 个 存活 期 工 ; 
(3) KDC 计算 出 : 
mi 一 eg, (Ks,ID(V),T,L) 
ma 一 ex, (Ks,ID(V),T,L) 
并 将 mi ms 发 送 给 U; 
(4) U 使 用 dk, mii Sl Ks, T,L 和 ID(V) ,然后 计算 出 : 
ms 一 ex, IDU), T) 
并 将 ms Mm 发 送 给 V; 
(5) V 使 用 d, P m; 中 计算 出 K、TL AIDU), AH d, MA m Pitt TA IDU), 
检查 两 个 T 和 ID(U) 是 否 一 致 ; 
(6) 如 果 两 个 工 和 ID(U) 一 致 ,V 计算 出 : 
m, =ex(T+1) 
将 它 发 送 给 Ui 
C) UD 使 用 ex Jum, 中 验证 是 否 为 TH. 
图 8.2 描述 了 Kerboros 密 钥 分 发 的 过 程 。 


ey, (Ks, ID(UD, T, L) ex (ID(U), T) 
ey (Ks, ID(V), T, L) ex Ks, ID(U), T, L) 
C= 一 一 @ 
KDC 
[0] © 
exT+1) 


8.2 ”Kerboros 密 钥 分 发 协议 示意 图 

(D RR U 向 KDC 申请 密 钥 ; © 表示 KDC 将 m 和 ma 发 送 给 Us 

© 表示 UU 产生 ms 连同 mz 发 送 给 V; O RRV 产生 m4 RERU. 
从 第 @ 步 可 以 看 出 Kerboros 协议 中 ,Kerboros (KDC) 是 一 个 双重 角色 ,既是 认证 服务 

器 ,也 是 授权 服务 器 。 这 正 是 为 什么 给 KDC 起 名 为 Kerboros( 双 头 怪物 ) 的 原因 。 

Kerboros 沿用 至 今 , 目 前 的 成 熟 版 本 是 v5。v5 相对 与 v4 有 以 下 几 项 改进 : 
(1) 传送 的 所 有 消息 都 通过 CBC 模式 进行 加 密 ; 
(2) 使 用 “重演 缓冲 区 ”手段 提高 避免 重 放 攻 击 的 效率 ; 
G) 减少 了 一 次 没有 必要 的 、 重 复 的 加 密 。 
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8.2 节 中 的 密 钥 预 分 发 和 在 线 密 钥 分 发 有 一 个 共同 的 特点 ,就 是 需要 密 钥 分 发 中 心 
(CKDC) 的 参与 。 密 钥 协 商 则 不 需要 KDC 的 参与 ,通过 通信 双方 的 互 操作 形成 一 个 共享 的 
密 钥 是 基本 目标 ,这 一 目标 通常 需 采 用 公 钥 密码 体制 来 实现 。 

首先 要 提 到 的 是 DH 密 钥 协商 方案 ,DH 密 钥 协商 方案 早 在 1976 年 就 已 出 现 。 
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DH 密 钥 协商 方案 与 DH 密 钥 分 发 方案 非常 类 似 ,主要 差别 在 于 au 和 ar 值 不 是 一 个 
固定 值 ,而 是 在 每 次 会 话 前 随机 产生 。 
DH 密 钥 协商 方案 : 公开 一 个 素数 p, 取 a€ 2 。 
U 随机 选取 一 个 ac ,然后 计算 : 
bu = a% mod p 
并 将 bu 发 送 给 V。 
同样 ,V 随机 选取 一 个 av ,然后 计算 : 


by 一 asv mod p 
并 将 bv 发 送 给 U. 
U 通过 计算 : 
Kuv=b mod p 
得 到 共享 密 钥 。 
V 通过 计算 : 
Kuv= by mod p 
得 到 共享 密 钥 。 


然而 这 种 密 钥 分 发 方案 很 脆弱 ,难以 经 受 中 间 人 (Intruder-in-the-middle) 攻 击 的 考验 。 
图 8.3 说 明了 DH 密 钥 分 发 方案 的 中 间 人 攻击 示意 图 。 


atu art 
U "| 
ar av 
图 8.3 DH 密 钥 分 发 方案 的 中 间 人 攻击 
在 图 8.3 中 ,W 与 U 的 通信 中 伪装 成 V, 与 V 的 通信 中 伪装 成 U, 而 U 和 对 这 种 伪 
装 却 全 然 不 知 。 
不 难 发 现 ,之 所 以 会 遭 到 中 间 人 攻击 ,是 因为 U 和 V 之 间 没 有 进行 身份 信息 的 交流 。 
下 面 的 STS 密 钥 协商 协议 对 DH 密 钥 分 发 方案 做 了 改进 。 


STS 密 钥 协商 协议 (简单 点 到 点 协议 ): 
(OD U 选择 一 个 随机 数 au «0av S p— 2; 


(2) U 计 算 : 
as mod p 
并 发 送 给 V; 
G) V 选择 一 个 随机 数 av 0v p— 2; 
(4) V 先 计算 : 
av modp 
然后 计算 : 


K = (a*v )*v mod p 


yv = sigyla™ .av ) 
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O V TE COD av yv 发 给 品 , 其 中 : 
CCV) = (ID(V) ,weryv ,sig roc (ID(V) ,verv)) 
(6) U 计算 出 : 
K = (o*v )* mod p 
并 用 very 验证 yv ,用 verc S& iE CV); 
(7) U 计算: 
yu = siguCa'* ,ao ) 
并 发 送 (C(U),yu) 给 V; 
(8) V JH veru 验证 yo ,用 verkpc 验 证 C(U)。 
图 8.4 说 明了 STS 密 钥 协商 协议 中 的 信息 传送 示意 图 。 


atu 


atr, Sigy( av, gu) 


siga", a) 


图 8.4 STS 密 钥 协 商 示意 图 
再来 考虑 中 间 人 攻击 ,攻击 者 W 介入 U 和 V 之 间 的 密 钥 协商 ,如 图 8. 5 所 示 。 


at at 
a“, sigy( aV, ary? a^, sigy( ar , al) 
W V 
sig (av, aV) sigu( a?! a)? 


8.5 STS 的 安全 性 


攻击 者 从 U 处 截获 信息 a% mod ,但 是 没有 把 它 转交 给 V ,而 是 把 另外 一 个 数 a'v mod 
旋转 交 给 V。 

V 以 为 aw mod p J&  U 发 出 的 ,于 是 返回 信息 COV) .av 、yv。 

W 截获 C(V) .av yv W 希望 伪造 一 个 信息 来 冒充 V, 但 是 因为 W 没有 V 的 私 钥 , 所 
以 无 法 伪造 V 的 签名 ; 即使 W 能 够 伪造 V 的 签名 ,U 会 再 发 送 sigu (a^ ,ay ) 给 V。 

W 截获 sigu(a” ,a”) 后 ,希望 冒充 U, 但 是 由 于 W 没有 U 的 私 钥 , 所 以 无 法 伪造 U 的 
签名 ,很 难 获得 V 的 信任 。 

综 上 所 述 ,除非 攻击 者 W 既 能 伪造 U 的 签名 ,又 能 伪造 V 的 签名 ,否则 STS 是 能 够 防 
止 中 间 人 攻击 的 。 

除了 STS 密 钥 协商 协议 , Matsumoto, Takashima 和 Imai 也 在 DH 方案 的 基础 上 构造 
了 一 个 有 趣 的 密 钥 协商 协议 一 一 MTI 密 钥 协商 协议 。 这 个 协议 有 以 下 两 个 特点 : 

COD U fll V 不 需要 进行 数字 签名 ; 

(2) U sl V 的 信息 交换 只 需 两 次 即 可 。 
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MTI 密 钥 协商 协议 : 
CD U 的 私 钥 取 为 au ,相应 的 公 钥 为 : 

by = a% mod p 
(2) Wt V AHH av AAHH : 

by = a^* mod p 
(3) 品 选 择 一 个 随机 数 ru Oro p —2 ,并 计算 : 

su = a mod p 
(4) U TECCQUO ,su) 发 给 V, 这 里 的 CORR U 的 证 书 ; 
C5) V 选择 一 个 随机 数 rv ,0 过 ry 三 p 一 2, 并 计算 : 

sy=avmodp 
(6) VV 将 (C(V),sv) 发 给 U; 
(7) U 计算 出 : 

K = spby mod p 


其 中 ,or 是 从 CCV) 中 获得 


(8) V 计算 出 : 
K = syby mod p 
其 中 ,bu 是 从 C(U) 中 获得 。 
例 8.3 使 用 MTI 密 钥 协商 协议 实现 U 和 V 之 间 的 密 钥 协商 , 已 知 p= 27 803. 
a=5。 
U 的 私 钥 取 为 : 
av = 21 131 
相应 的 公 钥 为 ， 
bu = 5?! mod 27 803 = 21420 
设 V 的 私 钥 为 : 
av 一 17555 
相应 的 公 钥 为 : 
by = 5755 mod 27 803 = 17 100 
U 选择 一 个 随机 数 : 
ry — 169 
并 计算 : 


su = 5! mod 27 803 = 6268 

U 将 (C(U),su) 发 给 V,C(U) 中 包含 了 U WAH; 

V 选择 一 个 随机 数 : 

rv = 23 456 
并 计算 : 
sy = 57555 mod 27 803 = 26 759 

VCV). s RA UCV PEE V 的 公 钥 ; 

U 计算 出 : 

K = 26 759? x 17 100'? mod 25 307 = 21 600 
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其 中 ,17 100 是 从 CC(V) 中 获得 的 V 的 公 钥 by s 
V 计算 出 : 
K 一 6268755 x 21 4209 5* mod 25 307 = 21 600 
其 中 ,21 420 是 从 C(U) 中 获得 的 U 的 公 钥 bu。 
在 MTI 密 钥 协 商 协议 中 ,虽然 数据 交互 只 有 两 次 ,但 是 由 于 相互 间 交 换 了 各 自 的 证 书 
信息 ,加 上 攻击 者 无 法 获得 U 和 V 的 私 钥 ,因此 该 协议 能 够 抵御 中 间 人 攻击 。 
Girault 密 钥 协 商 协议 是 一 种 基于 自 验证 公 钥 的 密 钥 协商 协议 。 与 前 面 的 密 钥 协 商 协 
议 不 同 ,Girault 密 钥 协商 协议 在 保证 能 抵御 中 间 人 攻击 的 前 提 下 ,不 使 用 证 书 。 
Girault 密 钥 协商 协议 : 包括 两 个 过 程 ,第 一 个 过 程 是 自 验证 密 钥 的 生成 过 程 ; 第 二 个 
过 程 是 密 钥 协商 过 程 。 
CD 自 验证 密 钥 的 生成 过 程 如 下 : 
U 选择 一 个 随机 数 eu ,计算 : 
bu = a% mod n 
UD 将 avu 和 bu 发 给 KDC; 
KDC 计算 出 : 
pu = (buy — ID(U) )? mod n 
KDC 将 各 发 送 给 U. 
(2) 密 钥 协商 过 程 如 下 : 
U 选择 一 个 随机 数 ru, 计算， 
su = aY mod n 
U ¥ IDU), po «so A3 15 Vs 
V 选择 一 个 随机 数 rv ,计算 : 
sy = a mod n 
V ŽIDOV) py sv 发 送 给 V; 
U 计算 出 : 
K=sw (pri+ID(V)) mod n 
V 计算 出 : 


K = sy (pi 3- ID(UD))'v mod n 
$8.4 TE Girault 密 钥 协商 协议 中 , 取 p—977.q— 1117. W ; 
n — pq — 977 X M17 — 1091 309 
(n) = (977 — D X (017 — D = 1089 216 
W a—17, iit KDC 选取 RSA 加 密 密 钥 : 


e — 109 981 
相应 的 解密 密 钥 是 : 
d = 9973 
设 ID(U) 为 200 409, H. U 选择 : 
ay = 197 503 


Dun 
bu = 5/55 mod 1 091 309 = 690 191 


166 计算 机 安全 与 保密 


pu = (690 191 — 200 409)°%? mod 1 091 309 = 150 608 
it ID(VOy 200 510, H. V 选择 : 


ay — 197 702 
则 : 
by = 5'"* mod 1 091 309 = 227 592 
pv = (227 592 — 200 510)? mod 1 091 309 = 659 617 
前 面 的 过 程 产生 了 自 验证 公 钥 , 下 面 U 和 开始 协商 密 钥 。 
设 U 选择 : 
ry = 8999 
相应 的 su 为 : 
su = 5"" mod 1 091 309 = 448 786 
V 选择 : 


ry = 9001 
相应 的 sy 为 : 
sy = 5"" mod 1 091 309 = 924 692 

于 是 UU 可 以 计算 出 密 钥 : 

k = 924 692% 5° (659 6171°% **! + 200 510099? mod 1091 309 = 896 417 
V 也 能 计算 出 密 钥 : 

k = 448 786'? 7° (150 6081°% 1 + 200 409)*"! mod 1091 309 = 896 417 

显然 ,Girault 密 钥 协商 协议 的 另 一 个 特点 是 既 基 于 因 式 分 解难 题 ,也 基于 离散 对 数 

问题 。 


8.4 公 钥 基础 设施 


前 面 介绍 了 对 称 密码 体制 和 公 钥 密码 体制 ,以 及 利用 这 些 体制 完成 消息 签名 、 认 证 、 密 
钥 分 发 和 协商 等 任务 。 虽 然 现 有 的 技术 和 算法 都 足以 完成 这 些 任务 ,但 是 无 论 对 消息 、 身 
份 , 还 是 密 钥 本 身 的 操作 都 需要 一 种 规范 的 框架 。 本 节 要 讨论 的 公 钥 基础 设施 (Public Key 
Infrastructure，PKD) 正 是 这 样 一 种 框架 。 

总 的 来 说 ,PKI 是 建立 在 公 钥 密码 系统 的 基础 之 上 的 ,用 来 给 各 种 需要 安全 保证 的 用 户 
提供 安全 服务 的 一 种 解决 方案 。 它 具有 统一 化 、 标 准 化 的 特点 ,同时 还 具备 良好 的 互 操作 性 
和 可 扩展 性 。 

用 户 可 以 利用 PKI 平台 提供 的 安全 服务 进行 安全 通信 。PKI 建立 在 统一 的 标准 和 规 
范 基础 之 上 ,为 网 络 应 用 提供 实体 认证 ,数据 的 保密 性 ` 数 据 的 完整 性 和 交易 的 不 可 否认 性 
等 安全 服务 。 

一 个 完整 的 PKI 系统 ,如 图 8.6 所 示 。 它 主要 由 以 下 几 个 部 分 构成 。 

1. 认证 机 构 (Certificate Authority. CA) 


CA 是 PKI 的 核心 执行 机 构 , 是 PKI 的 主要 组 成 部 分 ,又 称 认 证 中 心 。 
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CA 的 主要 职责 如 下 : 

(1) 验证 并 标识 证 书 申请 者 的 身份 。 对 证 书 申请 者 的 信用 度 . 申 请 证 书 的 目的 .身份 的 
真实 性 等 问题 进行 审查 ,确保 证 书 与 身份 一 致 

(2) 确保 用 于 签名 证 书 的 非 对 称 密 钥 的 安全 性 。 为 了 增加 破解 的 难度 ,CA 用 于 数字 签 
名 的 私 钥 必 须 由 硬件 卡 产生 ,具有 足够 安全 长 度 的 密 钥 。 

(3) 管理 证 书信 息 资 料 。 管 理 证 书 序号 和 CA 标识 ,确保 证 书 主体 标识 的 唯一 性 ,防止 
证 书 主体 标识 的 重复 。 在 证 书 使 用 中 确定 并 检查 证 书 的 有 效 性 ,确保 不 使 用 过 期 或 已 作废 
的 证 书 。 

(4) 发 布 和 维护 作废 证 书 列表 (CRL)。 如 果 证 书 因 某 种 原因 需要 报废 ,就 必须 将 其 作 
为 “ 黑 名 单 ” 发 布 在 证 书 作废 列表 中 ,以 供 交 易 时 在 线 查 询 。 对 已 签发 证 书 的 使 用 进行 监视 
跟踪 ,以 备 发 生 交易 争端 时 提供 证 据 。 

由 此 可 见 ,CA 是 保证 电子 商务 、 电 子 政务 、 网 上 银行 .网 上 证 券 等 交易 的 安全 性 、 公 正 
性 的 第 三 方 权威 机 构 。 


发 放 证 书 终端 实体 
j 人 初始 注册 、 认 证 
E| — iky | 密 角 对 回复 、 密 钥 对 更 亲 
和 Os t 
EE T ERA 
Jt 
销 
Hh 1 
Cn 认证 机 构 X(CA2) 
交叉 认证 、 交 又 交叉 认证 、 交 又 
s 认证 证 书 更 新 认证 证 书 更 新 


认证 机 构 1(CA1) 


8.6 ”完整 的 PKI 系统 图 


2. 注册 机 构 (Registration Authority. RA) 

RA 是 可 选 的 管理 实体 , 换 句 话说 就 是 在 PKI 中 可 以 有 RA 也 可 以 没有 RA, 而 且 有 些 
PKI 中 RA 独立 存在 ,有 些 PKI 中 RA 与 CA 合 为 一 体 。 

RA 可 以 看 作 是 终端 实体 与 认证 中 心 CA 之 间 的 一 个 接口 。 接 受用 户 的 注册 申请 , 获 
取 并 认证 用 户 的 身份 ,完成 收集 用 户 信 息 和 确认 用 户 身 份 。 

尽管 注册 的 功能 可 以 直接 由 CA 来 实现 ,但 当 PKI 域内 实体 用 户 数量 很 大 并 且 在 地 理 
上 分 布 很 广泛 的 时 候 ,就 有 必要 建立 单独 的 RA 来 实现 注册 功能 。 

3. 证 书 ( 和 证 书 撤销 列表 ) 库 (Cert/CRL Repository) 

数字 证 书 是 网 上 实体 身份 的 证 明 ,证 书 应 由 具备 权威 性 、 可 信任 性 和 公正 性 的 第 三 方 机 
构 签发 。 

证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 , 它 像 网 上 的 “黄页 "一样 ,是 网 上 的 公 
共 信 息 库 ,可 供 公众 进行 开放 式 查 询 。 一 般 来 说 ,查询 的 目的 有 两 个 : 一 个 是 想得到 与 之 通 
信 实 体 的 公 钥 ; 另 一 个 是 要 验证 通信 对 方 的 证 书 是 否 在 “ 黑 名 单 ” 上 。 证 书库 一 般 支持 分 布 
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式 存放 ,目的 是 提高 效率 ,减少 总 目录 查询 的 压力 。 

4. 终端 实体 (End Entity. EE) 

终端 实体 就 是 PKI 中 的 用 户 。 根 据 在 通信 过 程 中 用 户 的 不 同类 型 ,终端 实体 可 以 分 为 
两 类 : 证 书 持 有 者 和 依赖 方 (Relying Party). 

为 方便 客户 操作 ,解决 PKI 的 应 用 问题 ,PKI 为 客户 提供 客户 端 软件 ,以 支持 数字 签 
名 、 加 密 传输 数据 等 功能 。 此 外 ,客户 端 软件 还 负责 在 认证 过 程 中 ,查询 证 书 和 相关 证 书 的 
撤销 信息 以 及 进行 证 书 路 径 处 理 、 对 特定 文档 发 出 时 间 惟 请 求 等 。 

下 面 将 重点 介绍 PKI 的 两 个 重要 主题 ; 数字 证 书 和 信任 模型 。 


8.5 数字 证 书 


数字 证 书 是 各 终端 实体 在 网 上 进行 信息 交流 及 商务 活动 的 身份 证 明 , 在 电子 商务 交易 
的 各 个 环节 ,交易 各 方 都 需要 验证 其 他 参与 各 方 的 数字 证 书 的 有 效 性 ,从 而 解决 相互 间 的 信 
任 问题 。 

目前 ,数字 证 书 的 格式 已 形成 统一 的 标准 , 即 X. 509 标准 。 

X. 509 是 由 国际 电信 联盟 ITU-T 制定 的 数字 证 书 标准 。 最 初 的 K. 509 版 本 公布 于 
1988 年 ,版 本 3 的 建议 稿 于 1994 年 发 布 ,并 于 1995 年 获得 批准 。 

在 X. 509 中 ,数字 证 书 的 数据 域 包括 以 下 内 容 。 

(1) 版 本 号 : 如 v3。 

(2) 序列 号 : 由 同一 发 行者 (CA) 发 放 的 每 个 证 书 的 序列 号 是 唯一 的 。 

(3) 签名 算法 识别 符 : 签署 证 书 所 用 的 算法 及 相应 的 参数 。 

(4) 发 行者 名 称 : 指 建立 和 签署 证 书 的 CA 名 称 。 

(5) 有 效 期 : 包括 证 书 有 效 期 的 起 始 时 间 和 终止 时 间 。 

(6) 主体 名 称 : 指证 书 所 属 用 户 的 名 称 , 及 这 一 证 书 用 来 证 明 私 钥 用 户 所 对 应 的 公开 

D 主体 的 公开 密 钥 信息 : 包括 主体 的 公开 密 钥 、 使 用 这 一 公开 密 钥 算法 的 标识 符 及 
相应 的 参数 。 

(8) 发 行者 唯一 识别 符 : 这 一 数据 项 是 可 选 的 , 当 CA 名 称 被 重新 用 于 其 他 实体 时 , 则 
用 这 一 识别 符 来 唯一 标识 发 行者 。 

(9) 主体 唯一 标识 符 : 这 一 数据 项 也 是 可 选 的 ,当主 体 的 名 称 被 重新 用 于 其 他 实体 时 ， 
则 用 这 一 识别 符 来 唯一 地 识别 主体 。 

(10) 扩展 域 : 其 中 包括 一 个 或 多 个 扩展 的 数据 项 , 仅 在 第 3 版 中 使 用 。 

QD 签名 : CA 用 自己 的 私 钥 对 上 述 域 的 哈 希 值 进 行 数字 签名 的 结果 。 

证 书 由 某 个 可 信 的 证 书 发 放 机 构 (CA) 建 立 , 并 由 CA 或 用 户 自己 将 其 放 入 公共 目录 
中 ,以 供 其 他 用 户 访问 。 

目前 ,符合 X. 509 标准 的 证 书 已 被 广泛 应 用 于 网 络 安全 应 用 程序 ,其 中 包括 IPSec、 
SSL .安全 电子 交易 (SET) .S/MIME $. 
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fj 8.5 Microsoft Root Authority WEP. 

在 Microsoft 自 带 的 Internet Explore 软件 中 ,就 可 以 查看 到 证 书 ,方法 如 下 : 

选择 “工具 ”>“Internet 选项 ”>“ 内 容 ” 选 项 卡 , 单 击 其 中 的 “证 书 ” 按 钮 ,于 是 得 图 8.7 
所 示 的 证 书 列表 。 


sbalSign Root CA Root SGC Authority 
[GTE CyberTrust ... Root SGC Authority 
licrosoft Findo... Microsoft Root A 
SGC Authority Root SGC Authority 
Root Agency 
Root SGC Authority 


mius ... Root SGC Authority 
[EjThaste Server CA Root SGC Authority 
Fm = Mc or Rasa SAn wy、 


8.7 Internet Explore 中 的 证 书 列表 


不 妨 选择 其 中 一 个 证 书 , 这 是 一 个 名 称 为 “Microsoft Root Authority” 的 根 证 书 , 如 
图 8.8 所 示 。 


这 个 证 书 的 目的 是 : 
“* 保证 远程 计算 机 的 身份 
* 向 远程 计算 机 证 明 您 的 身份 
。 确 保 软件 来 自 软 件 发 行商 
* 保护 软件 在 发 行 后 不 被 改动 。 


颁发 给 : Microsoft Root Authority 


MRE: Microsoft Root Authority 


有 效 期 起 始 日 期 1997-1-10 到 2020-12-31 


8.8 Microsoft Root Authority 证 书 


可 分 析 该 证 书 的 数据 域 ( 参 见 图 8. 9) 如 下 。 
版 本 号 : 
v3 ,表示 版 本 3 
序列 号 : 
00C1 008B 3C3C 8811 D13E F663 ECDF 40 
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签名 算法 识别 符 : 
md5RSA 
发 行者 名 称 : 
CN = Microsoft Root Authority 
OU = Microsoft Corporation 
OU = Copyright (c) 1997 Microsoft Corp 
有 效 期 起 始 日 期 
1997 年 1 月 10 日 15:00:00 
有 效 期 终止 日 期 : 
2020 4E 12 H 31 H 15:00:00 
主体 名 称 : 
CN = Microsoft Root Authority 
OU = Microsoft Corporation 
OU = Copyright (c) 1997 Microsoft Corp 
主体 的 公开 密 钥 信 息 : 


如 图 8.9 Bros ,证书 的 2048 位 公 钥 如 下 : 

3082 010A 0282 0101 00A9 02BD C170 E63B F24E 1B28 9F97 785E 30EA A2A9 8D25 
5FF8 FE95 4CA3 B7FE 9DA2 203E 7C51 A29B A28F 6032 6BD1 4264 79EE AC76 C954 
DAF2 EB9C 861C 8F9F 8466 B3C5 6B7A 6223 D61D 3CDE 0F01 92E8 96C4 BF2D 669A 
9A68 2699 D03A 2CBF 0CB5 5826 C146 E70A 3E38 962C A928 39A8 EC49 8342 E384 
OFBB 9A6C 5561 AC82 7CA1 602D 774C E999 B464 3B9A 501C 3108 2414 9FA9 E791 
2B18 E63D 9863 1460 5805 659F 1D37 5287 F7A7 EF94 02C6 1BD3 BF55 45B3 8980 BF3A 
EC54 944E AEFD A77A 6D74 4EAF 18CC 9609 2821 0057 9060 6937 BB4B 1207 3C56 
FF5B FBA4 660A 08A6 D281 5657 EFB6 3B5E 1681 7704 DAF6 BEAE 8095 FEBO CD7F 
D6A7 1A72 5C3C CABC F008 A322 30B3 0685 C9B3 2077 1385 DF02 0301 0001 


Microsoft Root Authorit.. 
199751 A10F 15:00:00 
2020 年 12 月 31 日 15:00:00 
vi £t Root Authorit. 


8.9 ”证 书 的 数据 域 以 及 公 钥 
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发 行者 唯一 识别 符 : 
KeyID- 5b d0 70 ef 69 72 9e 23 51 7e 14 b2 4d 8e ff cb 
Certificate Issuer: 
CN= Microsoft Root Authority 
OU — Microsoft Corporation 
OU- Copyright (c) 1997 Microsoft Corp 
主体 唯一 标识 符 : 
Certificate Serial Number=00 cl 00 8b 3c 3c 88 11 dl 3e f6 63 ec df 40 
签名 : 


SHA1( 签 名 算法 ) 
A434 8915 9A52 OFOD 93D0 32CC AF37 E7FE 20A8 B419 
数字 证 书 是 一 个 在 PKI 中 用 于 认证 和 分 发 公 证 书 申请 
铀 .用户 身 份 信息 以 及 其 他 信息 的 基本 实体 。 但 是 ， 站 DLLiEH9 必 
可 能 存在 某 些 原因 使 得 证 书 中 的 密 钥 有 可 能 在 其 使 x 密 钥 备 份 (可 选 ) 
用 期 内 不 再 有 效 , 如 私 钥 泄 露 . 密 钥 用 途 变 更 ,证 书 A 证 书 检索 
主体 关系 变更 等 ,于 是 需要 一 种 机 制 来 撤销 和 更 新 m En 
证 书 更 新 


图 8. 10 中 显示 了 数字 证 书 的 生命 期 。 


具体 过 程 详细 说 明 如 下 。 s vind 

1. 初始 化 证 书 历史 

终端 实体 被 CA/RA 认证 成 功 的 结果 就 是 CA wma 
为 终端 实体 的 公 钥 签发 证 书 ,并 把 该 证 书 返回 给 终 图 8.10 证 书 的 生命 期 
端 实体 ,并 将 这 个 证 书 分 发 到 公共 的 存储 库 中 去 。 

终端 实体 必须 首先 得 到 CA 的 根 证 书 ,因为 所 有 的 证 书 验证 都 将 用 到 它 。 一 般 CA 会 
在 自己 的 门户 网 站 上 发 布 自己 的 证 书 , 用 户 只 需 登录 该 网 站 即 可 下 载 CA 根 证 书 。 接 下 来 
的 过 程 是 证 书 申请 .证 书 分 发 和 密 钥 备份 。 

1) 证 书 申请 

在 证 书 申请 阶段 ,用 户 必须 首先 到 注册 中 心 RA 注册 证 书 申请 信息 ,RA 根据 相应 的 策 
略 审核 用 户 申请 信息 。 如 果 审核 通过 ,RA 向 CA 提出 证 书签 发 请 求 , 由 CA 负责 证 书 的 答 
发 和 发 放 。 

申请 证 书 的 第 一 步 是 进行 用 户 注册 。 用 户 注册 一 般 有 两 种 方式 ,一 种 是 离线 注册 方式 ， 
即 用 户 持 相关 有 效 证 件 到 注册 中 心 RA 处 进行 书面 登记 , 按 要 求 填写 证 书 相 关 表格 ,类 似 于 
到 银行 的 营业 厅 去 申请 银行 卡 。 另 一 种 方式 是 在 线 的 注册 方式 ,许多 CA 都 提供 一 个 门户 
网 站 ,用 户 可 以 登录 该 网 站 进行 证 书 申请 。 

在 公 钥 密码 体系 中 , 公 钥 、 私 钥 对 的 产生 是 很 重要 的 。 用 户 证 书 申请 的 目的 就 是 向 CA 认 
证 自己 的 身份 ,认证 成 功 的 用 户 将 获得 CA 颁发 的 公 钥 证 书 。 密 铀 对 的 产生 有 以 下 三 种 方式 : 

(D 用 户 自己 产生 。 用 户 保存 自己 的 私 钥 ,然后 向 CA 传送 公 钥 以 及 自己 的 身份 证 明 ， 
请 求 CA 对 该 身份 和 公 钥 进行 认证 ,并 颁发 证 书 。 

(2) 密 钥 对 由 第 三 方 产生 。 


数字 证 书 的 状态 ,这 就 是 所 谓 的 “证 书 状态 机 制 ”。 S 
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G) 密 钥 对 由 CA 产生 。 由 于 CA 是 一 个 权威 ,可 信 的 机 构 , 本 身 具有 极 高 的 安全 性 ,由 
它 来 负责 密 钥 的 产生 是 一 个 很 好 的 选择 。 

后 面 两 种 可 以 统称 为 集中 密 钥 产 生 方 式 。 

集中 密 钥 产生 方式 可 以 使 密 钥 备份 和 恢复 之 类 的 服务 简单 化 ,不 过 私 钥 的 安全 传输 
是 一 个 必须 要 考虑 的 问题 。 

用 户 自己 产生 密 钥 对 方式 的 好 处 则 是 用 户 私 钥 保 存在 本 地 ,不 需要 传输 ; 但 是 用 户 也 
因此 无 法 使 用 CA 的 密 钥 备份 和 恢复 服务 。 如 果 用 户 需要 CA 帮助 备份 自己 的 加 密 私 钥 ， 
也 会 存在 私 钥 传 送 的 问题 。 

鉴于 以 上 原因 ,有 些 PKI 系统 实现 将 两 种 方式 结合 起 来 。 用 于 加 密 和 解密 的 密 钥 对 ， 
使 用 集中 密 钥 生成 方式 ,CA 根据 用 户 请 求 决定 是 否 备份 该 密 钥 ; 而 用 于 签名 的 密 钥 对 则 一 
般 由 用 户 自己 生成 。 

如 果 密 钥 对 由 用 户 自 己 产生 ,还 必须 进行 私 钥 拥 有 验证 (Proof of Possession, POP), 验 证 
的 目的 是 确定 身份 和 私 钥 之 间 的 联系 ,实现 的 方法 根据 证 书 请 求 中 的 密 钥 类 型 的 不 同 而 不 同 。 

如 果 密 钥 是 用 来 签名 的 ,那么 用 户 使 用 自己 的 私 钥 对 证 书 申请 请 求 进行 签名 ,发 送 给 
RA ,RA 再 用 请 求 中 的 公 钥 验证 签名 即 可 证 明 用 户 确实 拥有 私 钥 。 由 于 私 钥 签 名 具有 不 可 
否认 性 ,因此 这 种 方法 可 以 证 明 用 户 确实 是 私 钥 的 拥有 者 。 

如 果 密 钥 是 用 来 加 密 的 ,那么 由 RA 产生 一 个 随机 数据 ,然后 用 证 书 申请 请 求 中 的 公 钥 
对 它 加 密 , 用 户 如 果 可 以 解密 该 加 密 数据 ,就 可 以 证 明 他 确实 拥有 私 钥 。 男 一 种 方法 是 CA 
返回 给 用 户 的 公 钥 证 书 通 过 用 户 提交 的 公 钥 进行 加 密 。 用 户 只 有 用 自己 的 私 钥 解 密 才能 解 
密 出 自己 的 公 角 证书, 从 而 证 明 自己 确实 拥有 对 应 的 私 钥 ; 但 这 种 方法 对 于 证 书 的 发 布 存 
在 问题 ,因为 证 书 必 须 明文 发 布 于 公开 的 存储 库 中 。 

2) 证 书 分 发 

PKI 提供 的 安全 服务 一 般 都 需要 证 书 , 如 何 获取 用 户 证 书 是 证 书 分 发 所 要 解决 的 关键 
问题 。 证 书 的 分 发 主要 体现 在 CA 和 最 终 实 体 的 交互 以 及 各 个 不 同 最 终 实体 之 间 的 交互 。 

CA 和 终端 实体 之 间 的 证 书 分 发 是 指 CA 根 证 书 的 分 发 ,CA 在 首次 初始 化 时 要 生成 自 
签名 的 根 证 书 。 客 户 端 必须 首先 要 获得 CA 的 根 证 书 , 才 能 安全 地 使 用 CA 提供 的 安全 服 
务 。 通 常 CA 的 根 证 书 是 通过 自己 的 门户 网 站 来 发 布 的 ,用 户 可 以 下 载 CA 根 证 书 ,并 安装 
到 浏览 器 的 CA 证 书库 中 。 

用 户 之 间 的 证 书 分 发 分 两 种 情况 : 一 种 情况 是 用 户 之 间 为 了 进行 安全 通信 ,需要 使 用 
对 方 的 公 钥 证 书 ; 另 一 种 情况 是 当 得 到 对 方 的 证 书后 要 使 用 时 ,需要 验证 对 方 证 书 的 状态 。 

用 户 之 间 的 证 书 分 发 方式 包括 以 下 几 种 : 

CD 私下 分 发 。 最 简单 的 分 发 机 制 是 用 户 之 间 的 私下 分 发 ,用 户 将 自己 的 证 书 直接 传 
送 自己 信任 的 终端 实体 ,可 以 采用 优盘 方式 .E-mail 附件 方式 等 。 这 种 方式 只 适合 小 范围 
的 用 户 群 体 ,不 适用 于 当前 Internet. 上 的 安全 应 用 。 

(2) 集中 分 发 。 最 常用 的 证 书 分 发 方式 是 在 一 个 公共 的 资料 库 中 公布 所 有 用 户 证 书 ， 
使 终端 实体 可 以 方便 ,快捷 地 获取 需要 与 之 进行 安全 通信 的 对 方 的 公 钥 证 书 。 这 种 集中 分 
发 服务 一 般 包 括 以 下 的 服务 或 服务 器 : 

基于 LDAP 的 目录 服务 ; 

Q) X. 500 目录 系统 ; 


E 
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© 在 线 状 态 服务 器 (Online Certificate Status Protocol, OCSP) ; 

@ Web 服务 器 ; 

© 基于 FTP 的 服务 器 。 

(3) 协议 分 发 。 证 书 还 可 以 作为 某 种 安全 协议 交换 的 一 部 分 来 分 发 。 例 如 ,客户 端 和 
服务 器 通过 安全 套 接 字 (将 在 后 面 的 章节 介绍 ) 进 行 通信 时 ,服务 器 端 可 以 配置 成 要 求 进行 
客户 端 验证 , 即 通过 协议 要 求 客户 端 必须 提供 自己 的 证 书 , 此 时 客户 端 就 可 以 将 自己 的 证 书 
作为 协议 交换 的 一 部 分 来 分 发 自己 证 书 。 为 了 验证 客户 证 书 ,SSL 还 要 求 服务 器 可 以 访问 
证 书 链 中 每 一 个 CA 证 书 。 此 外 ,IPSec 中 的 密 钥 交 换 协 议 IKE 也 可 以 传送 证 书 。 

3) 密 钥 备份 

密 钥 备份 是 由 CA 或 者 可 信任 的 第 三 方 提供 的 一 个 重要 服务 。 密 钥 备 份 是 解决 密 钥 丢 
失 并 帮助 恢复 重要 数据 的 唯一 方法 。 

在 PKI 中 ,终端 实体 一 般 至 少 有 两 对 密 钥 对 ,一 对 是 用 于 签名 的 签名 密 钥 , 另 一 对 是 用 
于 加 密 的 加 密 密 钥 ,每 对 密 钥 都 有 相应 的 数字 证 书 。 签 名 密 钥 用 于 对 发 送 的 信息 进行 数字 
签名 ,由 于 数字 签名 的 不 可 否认 性 ,签名 密 钥 一 般 由 用 户 自 己 产生 , 密 钥 备份 服务 不 能 备份 
该 密 钥 。 而 对 于 用 户 的 加 密 密 钥 ,应 该 进行 备份 以 防止 加 密 数据 无 法 解 开 造成 的 损失 。 

为 防止 密 钥 备份 管理 人 员 滥 用 权限 造成 密 钥 泄露 的 危险 ,备份 的 密 钥 应 由 多 个 管理 人 
员 共同 管理 ,用 户 的 私 钥 可 以 被 分 为 若干 部 分 ,由 不 同 的 密 钥 管理 人 员 保 存 ,任何 一 个 管理 
人 员 都 无 法 恢复 用 户 的 私 钥 ,只 有 他 们 所 持 有 的 分 量 合 在 一 起 的 时 候 才 能 恢复 私 钥 。 这 种 
方法 尤其 适合 对 安全 性 要 求 特别 高 的 CA 根 密 钥 的 备份 ,对 于 普通 用 户 密 钥 来 说 , 较 常 用 的 
方法 是 加 密 保 存 。 

2. 管理 阶段 

初始 化 阶段 完成 后 ,签发 的 密 钥 和 证 书 需要 进行 有 效 的 管理 ,从 而 进入 管理 阶段 。 管 理 
阶段 的 服务 包括 证 书 检索 .证 书 验证 、 密 钥 恢 复 、. 密 钥 更 新 。 

1) 证 书 检索 

证 书 检索 的 目 可 能 是 为 了 验证 签名 ,也 可 能 是 加 密 数据 。 

证 书 的 检索 主要 在 目录 服务 器 上 进行 。 使 用 LDAP 协议 必须 在 客户 端 配置 相应 的 支 
FF LDAP 的 客户 端 程序 ,许多 CA 还 直接 利用 FTP 或 者 HTTP 实现 对 证 书 的 检索 查询 ,此 
时 证 书 以 文件 形式 存储 在 某 服务 器 中 ,该 服务 器 的 URI 能 提供 证 书 的 用 户 名 ,组 织 等 信息 。 

2) 证 书 验 证 

在 使 用 证 书 之 前 ,必须 确认 该 证 书 是 否 有 效 。 证 书 验 证 是 确认 证 书 是 否 有 效 的 过 程 , 包 
括 确认 证 书 是 否 由 受信 任 的 CA 签发 .证 书 是 否 完整 而 且 有 效 。 完 整 性 通过 验证 证 书 上 的 
CA 数字 签名 来 保证 ,而 有 效 性 是 指证 书 未 过 期 而 且 未 被 撤销 。 

证 书 验证 的 基本 步骤 如 下 : 

CD 证 书 路 径 建 立 。 建 立 一 条 从 待 验 证 证 书 到 可 信任 CA 根 证 书 的 路 径 ,该 路 径 上 的 
所 有 证 书 都 应 能 够 被 验证 者 访问 。 

(2) 证 书 路 径 验证 。 检 查 路 径 上 的 所 有 证 书 的 数字 签名 以 保证 每 一 个 证 书 都 是 真实 可 
信 的 ,没有 被 算 改 过 。 验 证 从 最 顶层 的 证 书 开始 ,提取 出 该 证 书 中 的 公 钥 ,验证 下 级 证 书 的 
数字 签名 ,如 果 验 证 通过 , 则 保证 了 下 级 证 书 的 完整 性 和 可 靠 性 ,通过 验证 后 的 下 级 证 书 的 
公 钥 又 可 以 用 来 检验 其 再 下 一 级 证 书 的 数字 签名 ,依次 类 推 , 直 到 验证 完 所 有 的 证 书 。 
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O 证 书 状态 检查 。 由 于 证 书 受 到 有 效 期 的 限制 ,所 以 必须 保证 证 书 路 径 上 的 每 一 个 
证 书 都 在 有 效 期 之 内 ,并 且 没 有 并 撤销 。 验 证 有 效 期 的 方法 是 提取 出 证 书 中 的 有 效 期 ,然后 
与 当时 时 间 进 行 比 较 , 如 果 当 时 时 间 在 有 效 期 的 范围 之 内 , 则 说 明证 书 有 效 。 

有 效 期 的 验证 也 必须 从 根 证 书 一 直到 被 验证 的 证 书 , 即 只 有 上 面 各 级 证 书 在 有 效 期 内 ， 
被 验证 证 书 在 有 效 期 内 才 有 意义 。 

检查 证 书 是 否 被 撤销 有 两 种 方法 : 一 种 方法 是 下 载 CA 中 心 签 发 的 最 新 CRL, 检 验证 
书 路 径 上 所 有 证 书 的 序列 号 是 否 在 证 书 撤销 列表 中 ,只 要 出 现 了 任何 一 个 ,那么 被 验证 证 书 
就 是 无 效 的 ; 另 一 种 方法 是 使 用 在 线 证 书 状态 查询 OCSP ,发 送 证 书 状态 查询 请 求 给 OCSP 
服务 器 ,OCSP 服务 器 会 返回 所 请 求证 书 的 状态 “有 效 ”“ 已 撤销 ”或 者 “不 确定 ”。 

3) 密 钥 恢复 

密 钥 恢 复 是 基于 密 钥 备份 来 实现 的 ,没有 备份 的 密 钥 是 无 法 恢复 的 。 

当 终 端 实体 的 加 密 密 钥 丢失 后 ,可 以 请 求 恢复 密 钥 ,从 而 避免 重要 数据 的 丢失 。 密 钥 恢 
复 应 自动 完成 ,最 大 可 能 地 减少 用 户 的 参与 。 

4) 密 钥 更 新 

密 钥 更 新 是 在 证 书 中 密 钥 过 期 之 前 重新 签发 新 的 密 钥 和 证 书 的 过 程 ,也 称 为 证 书 更 新 。 
最 理想 的 密 钥 更 新 是 在 密 钥 达到 生命 期 的 3/4 时 自动 并 透明 完成 的 ,从 而 使 得 新 旧 密 钥 能 
够 平滑 地 进行 切换 ,防止 服务 的 中 断 。 

密 钥 更 新 的 原因 除了 密 钥 快 到 生命 周期 外 ,还 包括 证 书 中 的 一 些 属性 发 生变 化 . 私 钥 泄 
密 钥 更 新 包括 最 终 实体 密 钥 更 新 和 密 钥 对 更 新 两 种 情况 。 
(1) 最 终 实 体 密 钥 更 新 。 虽 然 CA 可 以 为 用 户 自动 实现 自动 密 钥 更 新 , 即 在 用 户 使 用 
证 书 的 过 程 中 ,CA 自动 到 目录 服务 器 中 检查 证 书 的 有 效 期 ,对 于 快 到 期 的 证 书 完成 自动 更 
新 。 但 在 某 些 情况 下 ,如 前 面 提 到 的 证 书 中 的 一 些 属 性 改变 ,用 户 会 向 CA/RA 提出 证 书 更 
新 的 请 求 。 证 书 更 新 请 求 基 本 上 同 证 书 申请 的 过 程 一 样 , 唯 一 不 同 的 是 证 书 更 新 需要 提供 
更 新 证 书 的 序列 号 。 

(2) 密 钥 对 更 新 。PKI 系统 的 信任 关系 是 建立 在 CA 的 密 钥 对 上 的 , 当 CA 需要 更 新 密 
钥 对 时 ,整个 PKI 系统 都 将 受到 影响 。 在 CA 发 布 新 的 根 证 书 时 ,需要 把 所 有 用 户 对 原 密 
钥 的 信任 关系 转移 到 新 密 钥 上 来 。CA 的 用 户 群 非常 巨大 ,所 有 证 书 的 验证 ,管理 都 需要 用 
到 CA 的 根 证 书 , 如 何 实现 CA 根 证 书 的 切换 ,是 CA 密 钥 更 新 中 的 关键 问题 。 

RFC2510 给 出 了 CA 密 钥 更 新 方法 ,具体 步骤 如 下 : 

(D 产生 新 的 密 钥 对 ; 

© 使 用 新 私 钥 为 旧 公 钥 签发 证 书 , 称 为 “新 私 钥 旧 公 钥 ”证书 ; 

© 使 用 旧 私 钥 为 新 公 钥 签发 证 书 , 称 为 “ 旧 私 钥 旧 公 钥 ?证 书 ; 

@ 使 用 新 私 钥 为 新 公 钥 签发 证 书 是 新 的 自 签名 证 书 , 称 为 新 CA 根 证 书 ,CA 密 钥 更 新 
完成 后 ,所 有 的 信任 关系 将 转移 到 此 证 书 上 。 

KOO .@ 产 生 的 新 证 书 通过 目录 或 者 其 他 方式 发 布 ,保证 CA 所 有 用 户 能 方便 地 访问 。 

上 述 几 个 步骤 完成 后 ,CA 旧 私 钥 将 不 再 需要 ,而 旧 CA 根 证 书 还 将 继续 使 用 一 段 时 
Ta] ,直到 所 有 的 CA 用 户 都 已 经 获得 了 新 CA 根 证 书 。 新 CA 根 证 书 的 有 效 期 的 开始 时 间 
是 新 密 钥 对 的 产生 时 间 ,结束 时 间 是 下 次 CA 密 钥 对 更 新 的 时 间 。 

在 CA 证 书 更 换 期 间 的 过 度 期 内 ,由 于 * 新 私 钥 旧 公 钥 ?证 书 “ 旧 私 钥 旧 公 钥 ?证 书 和 新 
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CA 根 证 书 同时 存在 ,无 论 通信 双方 的 证 书 新 旧 与 否 都 能 正确 使 用 。 

3. 取消 阶段 

取消 阶段 是 密 钥 /证 书生 命 周期 的 结束 阶段 , 它 是 一 个 取消 的 过 程 。 该 阶段 包括 证 书 过 
期 .证 书 撤销 、 密 钥 历史 和 密 钥 归 档 4 个 部 分 。 

1) 证 书 过 期 

证 书 过 期 发 生 在 证 书 有 效 期 结束 的 时 候 。 

每 个 证 书 都 有 一 个 固定 的 生命 期 ,期 满 的 证 书 将 不 再 有 效 。 如 果 某 个 证 书 期 满 时 ,继续 
使 用 不 会 造成 安全 威胁 ,可 以 通过 延长 该 密 钥 对 的 使 用 有 效 期 ,具体 做 法 是 重新 签发 一 个 新 
证 书 , 该 证 书 中 包含 的 是 过 期 证 书 中 的 公 钥 ,新 证 书 和 过 期 证 书 的 唯一 不 同 点 在 于 新 证 书 具 
有 新 的 有 效 期 。 

2) 证 书 撤销 

数字 证 书 的 功能 如 同 现实 社会 中 的 身份 证 。 如 果 身 份 证 丢失 ,需要 到 相关 部 门 去 挂失 。 

数字 证 书 也 是 如 此 ,如 果 在 证 书 有 效 期 内 需要 提前 中 止 该 证 书 的 使 用 时 ,就 必须 存在 一 
种 机 制 来 撤销 该 证 书 。 

CA 在 收 到 证 书 撤销 请 求 后 ,立刻 撤销 终端 实体 的 证 书 并 及 时 发 布 该 撤销 信息 ,警告 所 
有 的 证 书 使 用 者 ,该 证 书 不 再 代表 一 个 原 终端 实体 的 身份 。 

证 书 撤销 的 实现 方法 有 多 种 : 一 种 方法 是 采用 证 书 撤销 列表 公布 证 书 撤销 的 信息 ; 另 
一 种 方法 采用 在 线 查询 机 制 , 实 时 公布 被 撤销 的 证 书 。 

证 书 撤销 列表 CRL 实质 上 是 一 个 由 签发 证 书 的 ,以 所 定期 签发 的 带 CA A ACRI LT 
数据 结构 , 它 包 含 被 撤销 的 证 书 的 序列 号 、 撤 销 日 期 以 及 撤销 原因 。 

CRL 的 公布 间隔 可 能 是 一 天 也 可 能 是 一 周 。 在 CRL 中 包含 有 下 一 个 CRL 的 发 布 时 间 。 

CRL 的 发 布 方式 并 不 统一 , 它 也 是 由 各 自 的 CPS 规定 的 。 总 的 来 说 ,CRL 的 发 布 方式 
包括 以 下 3 种 : 

CD 完全 CRL 方式 。 每 次 发 放 的 CRL 包括 所 有 已 被 撤销 的 证 书 ,其 文件 大 小 随时 间 
的 增加 而 增长 。 

(2) 增 量 CRL 方式 。 每 次 发 放 的 CRL 不 包括 已 被 撤销 的 证 书 ,只 包括 上 一 个 CRL 的 
增 量 。 这 种 方式 避免 了 每 撤销 一 个 证 书 就 必须 产生 一 个 庞大 的 CRL。 

(3) 分 布 式 方式 。 为 了 控制 CRL 的 大 小 ,将 CA 颁发 的 证 书 分 成 多 个 子 集 , 每 个 子 集 
中 的 证 书 撤销 由 不 同 的 CRL 来 发 布 。 该 方式 通过 每 个 证 书 中 的 扩展 项 字段 一 一 CRL 分 布 
点 来 实现 ,分 布点 为 终端 实体 确定 了 可 以 在 什么 地 方 获得 证 书 的 状态 信息 。 

CRL 可 以 采用 多 种 方式 分 发 ,如 目录 服务 、E-mail 和 Web 形式 ,但 一 般 同 证 书 的 分 发 
方式 保持 一 致 。 

OCSP 是 另 一 种 方式 。 即 终端 实体 通过 OCSP 客户 端 发 送 一 个 证 书 的 状态 查询 给 
OCSP 服务 器 ,OCSP 服务 器 返回 该 证 书 的 状态 。 

OCSP 一 般 用 于 网 上 银行 .网 上 证 券 .电子 政务 中 的 某 些 关 键 应 用 。 除 了 返回 证 书 状 态 
信息 之 外 ,基于 OCSP 的 在 线 验 证 往往 还 可 以 返回 关于 证 书 的 其 他 信息 。 

3) 密 钥 历史 

由 于 密 钥 更 新 .证 书 过 期 等 原因 ,每 个 终端 实体 都 可 能 拥有 多 个 旧 的 公 钥 证 书 和 当前 的 
证 书 。 这 一 系列 证 书 构成 了 用 户 的 证 书 历史 档案 , 称 为 用 户 密 钥 历史 。 保 存 密 钥 历史 是 恢 
复 以 前 加 密 的 敏感 数据 的 可 行 方案 。 
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通常 使 用 一 个 另外 的 独立 系统 来 提供 密 钥 历史 服务 ,但 需要 向 其 他 系统 提供 接口 ,接口 
的 数目 将 根据 实际 的 PKI 要 求 而 定 。 

如 果 密 钥 对 是 由 用 户 自己 产生 , 则 需要 提供 同 用 户 的 接口 ; 如 果 密 钥 对 由 CA 集中 产 
生 , 则 需要 提供 同 CA 的 连接 接口 。 

4) 密 钥 归档 

密 钥 归档 不 同 于 密 钥 历史 , 密 钥 历 史 是 面向 数据 机 密 性 服务 , 它 通常 只 关心 终端 实体 用 
于 加 解密 的 密 钥 的 存储 ,帮助 终端 实体 恢复 已 经 过 期 的 密 钥 。 

密 钥 归档 一 般 是 由 第 三 方 提供 的 服务 , 它 除了 涉及 用 户 的 密 钥 的 保存 外 ,还 可 能 涉及 其 
他 同 用 户 相关 的 秘密 资料 的 存储 。 如 果 将 密 钥 归 档 服务 和 安全 时 间 蕉 、 安 全 公证 服务 结合 
在 一 起 ,还 能 提供 审计 和 帮助 解决 争议 的 服务 。 

例 8.6 Windows 环境 下 的 证 书 服务 安装 与 配置 。 

证 书 的 安装 如 图 8. 11 和 图 8. 12 所 示 。 
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图 8.11 添加 Windows 组 件 


Windows 组 件 向 导 


证 书 数据 库 设置 
辆 入 证 书 数据 库 、 笋 据 库 日 志和 卫 置 信息 的 位 置 。 


图 8.12 证 书 数据 库 设 置 


安装 成 功 后 ,用 户 可 以 通过 浏览 器 申请 证 书 , 如 图 8. 13 所 示 。 
CA 证 书 恢复 如 图 8. 14 和 图 8. 15 所 示 。 
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图 8.15 用 户 提供 密码 


178 计算 机 安全 与 保密 


8.6 信任 模型 


近年 来 , PKI 的 建设 已 按 区 域 和 行业 全 面 铺 开 。 区 域 型 的 CA, 如 上 海 CA 中 心 
(SHECA) .北京 CACBJCAO 海南 电子 商务 认证 中 心 CHNECA) 等 。 行 业 型 的 CA 有 国内 
13 家 商业 银行 联合 建设 中 国 金融 认证 中 心 (CFCA) .中 国电 信 组 建 的 CTCA、 由 国家 外 经 贸 
部 建立 的 中 国 国际 电子 商务 中 心 (CIECC) 等 。 

事实 上 ,每 个 CA 只 可 能 覆盖 一 定 的 范围 ,不 同系 统 往往 有 各 自 不 同 的 CA, 他 们 颁发 的 
证 书 只 在 本 系统 范围 内 有 效 。 

虽然 不 同 的 系统 具有 自己 的 PKI 体系 结构 ,但 这 些 不 同 的 PKI 体系 在 实际 中 又 是 相互 
联系 的 ,信任 模型 主要 研究 如 何 解决 单个 PKI 体系 中 的 信任 问题 以 及 各 多 个 独立 PKI 体系 
间 的 交叉 信任 问题 。 

1. 单 CA 信任 模型 

单 CA 信任 模型 ,如 图 8. 16 所 示 。 

单 CA 信任 模型 是 最 基本 的 信任 模型 ,也 是 在 企业 环境 中 最 典型 的 一 种 模型 。 在 这 种 
模型 中 ,整个 PKI 体系 只 有 一 个 CA, 它 为 PKI 中 的 所 有 终端 实体 签发 和 管理 证 书 。 每 个 证 
书 路 径 都 起 始 于 该 CA WAH ,该 CA 的 公 钥 成 为 PKI 体系 中 唯一 的 用 户 信任 锚 。 

信任 锚 是 指 在 信任 模型 中 , 当 有 一 个 足够 可 信和 的 身份 签发 者 证 明 该 实体 的 身份 时 ,才能 
做 出 信任 该 身份 的 决定 。 这 个 可 信 的 身份 签发 者 就 是 信任 锚 。 

单 CA 信任 模型 容易 实现 ,易于 管理 ,但 是 不 太 适 合 终端 用 户 群 体 很 大 的 情况 。 

2. 分 级 信任 模型 

分 级 信任 模型 ,如 图 8.17 所 示 。 


根 CA 
根 CA po did SN 
CAI CA2 
Ul U2 U3 | Ul [ v U3 U4 
8.16 单 CA 信任 模型 图 8.17 分 级 信任 模型 


分 级 信任 模型 也 称 为 层次 信任 模型 ,可 以 描绘 为 一 棵 倒转 的 树 , 根 在 项 上 ,树枝 向 下 伸 
展 。 在 这 棵 倒转 的 树 上 , 根 代表 根 CA, 作 为 信任 锚 , 所 有 实体 都 信任 它 。 

根 CA 往往 不 直接 为 终端 用 户 颁发 证 书 而 仅 为 子 CA 颁发 证 书 。 在 根 CA 的 下 面 是 多 
BKF CA, F CA 是 所 在 实体 集合 的 根 , 非 CA 的 树叶 是 指 终端 实体 。 两 个 不 同 的 终端 用 
户 进行 交互 时 ,双方 都 提供 自己 的 证 书 和 数字 签名 ,通过 根 CA 来 对 证 书 进行 有 效 性 和 真实 
性 的 认证 。 信 任 关系 是 单 向 的 ,上 级 CA 可 以 认证 下 级 CA ,而 下 级 CA 不 能 认证 上 级 CA. 

分 级 信任 模型 有 以 下 一 些 优 点 : 
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CD 增加 新 的 CA 或 终端 实体 比较 容易 ; 

(2) 证 书 路 径 由 于 其 单 向 性 ,生成 从 终端 用 户 证 书 到 信任 锚 的 路 径 简 单 明确 ; 

(3) 证 书 路 径 相 对 较 短 , 最 长 的 路 径 等 于 树 的 深度 加 1。 

分 级 信任 模型 的 缺点 是 单个 CA 的 失败 会 影响 整个 PKI 体系。 与 顶层 CA 的 距离 越 
短 , 造 成 的 混乱 越 大 。 由 于 所 有 的 信任 都 集中 在 根 CA ,一 旦 根 CA 出 现 故 障 ,将 带 来 毁灭 性 
的 灾难 。 

3. 网 状 信 任 模型 

网 状 信任 模型 也 称 为 分 布 式 信任 模型 ,在 这 种 模型 中 CA 间 存 在 着 交叉 认证 。 与 分 级 
信任 模型 不 同 , 网 状 信任 模型 把 信任 分 散 到 两 个 或 更 多 个 CA 上 。 

网 状 信任 模型 的 优点 如 下 : 

(1) 因为 存在 多 个 信任 锚 , 单 个 CA 的 失效 不 会 影响 到 整个 PKI; 

(2) 增加 新 的 CA 更 加 容易 。 

不 过 ,在 网 状 信任 模型 中 ,信任 路 径 的 确定 比较 困难 。 从 终端 用 户 证 书 到 信任 锚 建立 证 
书 的 路 径 存在 多 种 选择 ,有 些 选 择 可 以 形成 正确 路 径 , 而 其 他 选择 则 会 导致 失败 。 更 有 甚 
者 ,在 网 状 模型 的 PKI 中 甚至 可 能 会 形成 一 条 证 书 环 路 。 

4. 桥 CA 信任 模型 

Fr CA 信任 模型 ,如 图 8. 18 所 示 。 


根 CA 上 = -| p l- =| cas -| us 
Cal CA2 CA5 
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8.18 桥 CA 信任 模型 


桥 CA 信任 模型 也 称 为 中 心 辐射 式 信任 模型 , 它 结 合 了 分 级 模型 和 网 状 模型 的 特点 ,可 
以 较 好 地 连接 不 同 的 PKI。 

不 同 于 网 状 模型 中 的 CA, 桥 CA 与 不 同 的 信任 域 建立 对 等 的 信任 关系 ,允许 用 户 保持 
原 有 的 信任 锚 , 这 些 关 系 被 连接 起 来 形成 信任 桥 。 

桥 CA 既 不 直接 向 用 户 颁 发 证 书 , 也 不 像 根 CA 一 样 能 成 为 一 个 信任 锚 。 它 只 是 一 个 
单独 的 CA ,与 不 同 的 信任 域 建立 对 等 的 信任 关系 ,允许 终端 实体 保留 自己 的 原始 信任 锚 。 

桥 CA 信任 模型 继承 了 分 级 模型 和 网 状 模型 的 优点 ,不 过 证 书 路 径 的 有 效 发 现 和 确认 
仍然 不 很 理想 。 因 为 基于 桥 CA 模型 的 PKI 系统 可 能 仍然 包括 部 分 的 网 状 模型 ,这 就 要 求 
终端 实体 能 开发 和 确认 复杂 的 证 书 路 径 。 

5. Web 信任 模型 


Web 信任 模型 ,如 图 8. 19 所 示 。 
这 种 模型 一 般 建 立 在 浏览 器 ,浏览 器 厂商 在 浏览 器 中 内 置 了 多 个 根 CA ,每 个 根 CA 相 
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互 间 是 平行 的 ,浏览 器 用 户 信任 这 些 根 CA 并 把 它们 作为 自己 的 信任 锚 。 

这 种 模型 表面 上 与 分 布 式 信任 模型 颇 为 相似 ,实际 上 则 更 接近 分 级 模型 。 各 个 嵌入 的 
TR CA 并 不 被 浏览 器 厂商 显 式 认 证 ,但 浏览 器 厂商 隐 含 认证 了 这 些 根 CA。 这 种 依赖 关系 表 
明 ,浏览 器 厂商 就 成 了 事实 上 的 隐 含 的 根 CA, 

Web 信任 模型 的 优点 是 方便 简单 ,操作 性 强 , 对 终端 用 户 实体 的 要 求 较 低 。 用 户 只 需 
简单 地 信任 嵌入 的 各 个 根 CA 即 可 。 

Web 信任 模型 的 缺点 是 安全 性 不 好 ,终端 实体 难 知道 某 个 浏览 器 中 戏 和 了 哪些 根 CA, 
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图 8.19 Web 信任 模型 


6. 以 用 户 为 中 心 的 信任 模型 

在 这 种 信任 模型 中 ,终端 实体 自行 决定 信赖 哪个 证 书 。 没 有 可 信 的 第 三 方 作 为 CA, 
端 实体 就 是 自己 的 根 CA。 

用 户 信 任 模型 的 优点 是 安全 性 掌握 在 自己 的 手中 ,用 户 的 自主 性 强 。 

用 户 信任 模型 的 缺点 是 适用 范围 小 ,将 发 放 和 管理 证 书 的 任务 交 给 普通 用 户 也 不 现实 。 


8.7 J 题 


1. Æ A,B,C,D Zi] Sc ji Blom 密 钥 分 发 方案 ,具体 参数 为 p 419.74 23. rg =17, 
rc 一 43,rp 一 41,TA 选择 随机 数 : a —108.5—121.c—138.d —73.5K A 5 B,C 5 D.A 5 
D,B 5j C 之 间 通 信 的 共享 密 钥 。 

2. 简 述 PKI 的 工作 原理 。 

3. 简 述 数字 证 书 的 作用 。 

4. 当 通 信 双 方 需要 通信 时 ,比较 成 熟 的 做 法 是 在 现 有 条 件 下 ,产生 一 个 临时 的 通信 密 
钥 ,这 个 密 钥 也 称 为 


5. Girault 密 钥 协商 协议 包括 两 个 过 程 , 第 一 个 过 程 是 ,第 二 个 过 程 

6. PKI 是 建立 在 密码 系统 的 基础 之 上 。 

7. 如 果 证 书 因 某 种 原因 需要 报废 ,就 必须 将 其 作为 发 布 在 中 ,以 供 交易 时 在 
线 查询 。 

8. 可 以 看 作 是 终端 实体 与 认证 中 心 CA 之 间 的 一 个 接口 。 

9. |. ”是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 , 它 像 网 上 的 “黄页 ”一 样 ,是 网 


上 的 公共 信息 库 , 可 供 公众 进行 开放 式 查询 。 
10. 是 各 终端 实体 在 网 上 进行 信息 交流 及 商务 活动 的 身份 证 明 。 
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1. 申请 证 书 的 第 一 步 是 用 户 注册 ,用 户 注册 一 般 有 和 两 种 方式 。 

2. 如 果 密 钥 对 由 用 户 自己 产生 ,还 必须 进行 验证 ,验证 的 目的 是 确定 身份 和 
私 钥 之 间 的 联系 。 

3. 有 效 期 的 验证 也 必须 从 一 直到 ,只 有 上 面 各 级 证 书 在 有 效 期 内 ， 
被 验证 证 书 在 有 效 期 内 才 有 意义 。 

4. CRL dj " 和 3 种 发 布 方式 。 

5. 在 CA 证 书 更 换 期 间 的 过 度 期 内 ,由 于 证 书 、 证 书 以 及 
根 证 书 同 时 存在 ,无 论 通信 双方 的 证 书 新 旧 与 否 都 能 正确 使 用 。 

6. 分 级 信任 模型 也 称 为 ,可 以 描绘 为 一 棵 倒转 的 树 , 根 在 项 上 ,树枝 向 下 


伸展 。 
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数字 化 、 网 络 化 是 21 世纪 社会 生活 的 一 大 特点 ,如 何 应 对 日 趋 严 峻 的 计算 机 安全 威胁 
备 受 关注 。 本 章 将 通过 专题 的 形式 ,重点 介绍 口令 保护 .电子 邮件 安全 .虚拟 专用 网 等 几 个 
方面 的 安全 技术 。 


9.1 操作 系统 口令 保护 


计算 机 离 不 开 操作 系统 ,操作 系统 的 安全 是 计算 机 安全 的 核心 问题 之 一 。 操 作 系统 最 
基本 的 保护 是 登录 口令 的 保护 ,本 节 将 针对 UNIX 和 Windows 两 种 操作 系统 分 别 介绍 口令 
保护 。 


9.1.1 UNIX 系统 口令 保护 


/etc/passwd 文件 是 UNIX 口令 保护 的 关键 文件 之 一 , 当 用 户 登 录 UNIX 时 往往 需要 
通过 该 文件 来 验证 口令 是 否 正确 。 
/etc/passwd 文件 是 一 个 文本 文件 , 仅 对 root 可 写 , 每 行 的 一 般 格式 为 : 


Username: Passwd : UID : GID : UserInfo : Home : Shell 


其 中 ,每 行 的 头 两 项 是 登录 名 和 加 密 后 的 UNIX 口令 ,UID 和 GID 是 用 户 的 ID 号 和 用 户 所 
在 组 的 ID 号 ,UserInfo 是 系统 管理 员 写 入 的 有 关 该 用 户 的 信息 , Home 是 用 户 的 主 目录 ， 
Shell 是 用 户 登 录 后 将 执行 的 shell( 若 为 空格 则 默认 为 /bin/sh) 。 

以 下 是 Passwd 文件 的 一 个 实例 : 

steve:xyDfccTrt180x, M. y8:0:0:admin:/:/bin/sh 

restrict:pomJk109Jky41, .1:0:0:admin:/:/bin/sh 

pat:xmotTVoyumjls:0:0:admin:/:/bin/sh 

在 口令 文件 中 可 以 看 到 ,有 些 加 密 后 的 口令 有 逗号 38 5] JL T SERERIT AB GE 
号 后 的 这 个 字段 与 口令 维护 有 关 ,UNIX 一 般 要 求 用 户 定期 地 改变 他 们 的 口令 。 

例如 ,用 户 steve 的 口令 逗号 后 有 4 个 字符 “M. y8”, 第 一 个 字符 表示 口令 有 效 期 的 最 大 
周 数 , 第 二 个 字符 决定 了 用 户 再 次 修改 口令 之 前 , 原 口令 应 使 用 的 最 小 周 数 , 其 余 字 符 表示 
口令 最 新 修改 时 间 。 

Passwd 文件 中 ,时 间 的 编码 规则 比较 特殊 : 


.=0 /=1 0-9-2-11 A-2Z-12-37 a-z-38-63 


系统 管理 员 将 前 两 个 字符 放 进 /etc/passwd 文件 ,以 要 求 用 户 定期 的 修改 口令 ; 另外 两 
个 字符 当 用 户 修改 口令 时 ,由 passwd 命令 填 人 。 
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关于 前 两 个 字符 ,还 有 以 下 两 种 特殊 情况 : 

D 如 果 最 大 周 数 (第 一 个 字符 ) 小 于 最 小 周 数 (第 二 个 字符 ), 则 不 允许 用 户 修 改口 令 ， 
仅 超级 用 户 可 以 修改 用 户 的 口令 ; 

(2) 第 一 个 字符 和 第 二 个 字符 都 是 “. ”, 这 时 要 求 用 户 下 次 登录 时 修改 口令 ,修改 口令 
后 ,passwd 命令 会 将 *. "删除 ,此 后 不 再 要 求 用 户 修改 口令 。 

HP restrict 的 口令 逗号 后 有 两 个 字符 “. 1" ,表明 不 允许 用 户 修 改口 令 , 仅 超级 用 户 可 
以 修改 用 户 的 口令 。 

如 果 对 用 户 的 口令 维护 没有 要 求 ,那么 可 以 不 加 逗号 及 逗号 后 的 参数 ,如 用 户 pat 的 记 
录 后 面 就 没有 带 逗 号 及 参数 。 

近年 来 , 越 来 越 多 的 UNIX 系统 口令 文件 进行 了 Shadow 变换 , 即 把 /etc/passwd 文件 
中 的 口令 域 分 离 出 来 ,单独 存在 /etc/shadow 文件 中 ,并 加 强 对 shadow 文件 的 保护 ,以 增强 
口令 安全 。 如 果 采 用 shadow 文件 来 加 强 口令 安全 ,那么 在 /etc/passwd 文件 中 的 口令 域 中 
将 是 一 个 “x”。 

UNIX 使 用 DES 加 密 算法 来 产生 口令 验证 串 , 如 图 9.1 所 示 。 


fu |Rfuu4.4hYOU — — ——34 
Salt (密码 文件 : /etc/passwd) 
Į 


n - 25 次 DES 循 环 | — 密码 进行 对 比 
初始 明文 : 64 位 0 一 | 加 密 过 程 
密 钥 -一 一 Rfuu4.4hYOU 
(结果 ) 
加 密 密 码 


9.1 UNIX 口令 验证 


具体 操作 如 下 : 

(1) 系统 为 每 个 用 户 准备 了 一 份 Salt 值 ,Salt 值 是 12 位 , 设 Salt flis — Go. serm os. 

(2) 初始 明文 是 64 位 的 0。 

(3) DES 加 密 过 程 需要 进行 25 次 ,这 里 对 DES 加 密 进 行 了 小 的 改动 ; 

在 DES 的 子 密 钥 生成 运算 (ze mitte xa yos yit yo PWR s; — 1.0 y; 
与 yj+2% 互 换 位置 ; 如 果 $j— 0, 则 位 置 不 变 。 

(4) 最 后 的 64 位 结果 分 成 两 部 分 ,一 部 分 由 10 个 6 位 构成 , 另 一 部 分 由 剩 下 的 4 位 构 
成 ,两 部 分 加 起 来 是 11 个 ASCII 字符 。 

G) 将 12 位 的 Salt 值 可 转换 成 两 个 ASCI 字符 。 将 Salt 和 11 个 ASCI 字符 连接 形 
成 13 个 ASCI 字 符 , 这 13 个 ASCII 字符 存放 在 口令 域 中 。 


9.1.2 Windows 系统 口令 保护 


与 UNIX 不 同 ,Windows 系统 的 口令 保护 采用 LM-Hash 或 NTLM-Hash 算法 。 
Windows 系统 的 口令 文件 SAM 存放 在 % systemroot%Nsystem32N\config 下 。 由 于 不 
是 标准 的 文本 文件 ,要 从 SAM 中 得 到 LM-Hash 或 NTLM-Hash 值 , 需 要 借助 工具 。 
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下 面 先 介绍 LM-Hash 的 运算 步骤 。 
CD 假设 明文 口令 是 " RAYBUCT", 首先 全 部 转换 成 大 写 RAYBUCT, 再 把 
RAYBUCT 转换 成 十 六 进 制 形式 : 


"RAYBUCT" — 0x 52415942554354 00000000000000 

在 明文 口令 不 足 14 字 节 的 情况 下 ,后面 添加 0x00 补足 。 

(2) 将 上 述 14 字 节 切割 成 两 组 7 字 节 的 数据 ,每 7 位 末尾 加 一 位 “0”, 把 两 组 7 个 字 节 
变 成 两 组 8 字 节 。 

例如 ,52415942554354: 


01010010 01000001 01011001 01000010 
01010101 01000011 01010100 


变 成 ， 


0101001(0) 0010000(0) 0101011(0) 0010100(0) 
0010010(0) 1010101(0) 0000110(0) 1010100(0) 


Hil; 
5220562824AA0CA8 
00000000000000 则 变 成 ， 
0000000000000000 
(3) 两 组 8 字 节 数据 将 作为 DES 的 密 钥 对 给 定 字符 串 : 
KGS!@ 井 号 第 
进行 标准 DES 加 密 。 
5220562824A A0CAS8 对 4B47532140232425 进行 DES 加 密 的 结果 是 : 
91A3D48AC422DE92 
0000000000000000 对 4B47532140232425 进行 DES 加 密 的 结果 是 : 
AAD3B435B51404EE 
(4) 将 加 密 后 的 这 两 组 数据 简单 拼接 ,就 得 到 了 最 后 的 LM-Hash ff: 
91A3D48AC422DE92 AAD3B435B51404EE 


为 加 强 口 令 保护 ,微软 从 Windows NT 3.1 开始 使 用 新 的 NTLM-Hash 算法 。 不 过 在 
目前 很 多 版 本 的 Windows 系统 中 ,LM-Hash 和 NTLM-Hash 依然 并 存 。 

NTLM-Hash 的 特点 是 引入 了 Unicode, 并 且 口 令 对 大 小 写 敏感 。 其 步骤 如 下 : 

CD 假设 明文 口令 是 " RAYBUCT " , 先 将 其 转换 成 Unicode 字符 串 : 


5200410059004200550043005400 


从 ASCII 字符 串 转 换 成 Unicode 串 时 ,使 用 小 字 节 (little-endian) 序 。0x80 之 前 的 
ASCII 码 转换 成 Unicode 码 ,在 原 有 每 个 字 节 之 后 添加 0x00 即 可 。 


" 
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(2) 对 所 获取 的 Unicode 串 进 行 标 准 MD4 函数 处 理 ,MD4 固定 产生 128 位 的 Hash 
值 ,相当 于 16 个 字 节 。 
5200410059004200550043005400 的 MD4 值 是 : 


E11F3C0699D26C6A68ADCOBB2D250FEC 
也 就 是 最 后 的 NTLM-Hash ff. 

图 9.2 是 借助 工具 软件 SAMInside 显示 的 SAM 文件 ,在 每 条 记录 中 同时 记录 了 口令 
的 LM-Hash 值 和 NTLM-Hash 值 。 


Er 422D B 1404 

«Disabled» ^ «Disabled» 00000000000000000000000000000000 
[v] Helpassistant. 2227772722.. 22777777777.. SÜBSSF6B76F2B231A9ESSFBACTFSA16D ^ D8582346DC242141A2A537927A13F932 
[v] SUPPORT. 38... -Disabled» ^ ???2???????... 00000000000000000000000000000000 ^ 0B4444517C31A38499266BD091EAB2AB 
[v] ASPNET 2222227772... 77000007???... 9986486E334337B75231D6198CC6CO00 B13772E7F41A52B30EBBA4EA909AFD9C 


< m | 


Users: 5. Passwords found: 1 (20.00%). Current password: 


9.2 Windows 系统 下 SAM 文件 的 LM-Hash 值 和 NTLM-Hash ff 


9.2 PGP 与 电子 邮件 安全 


电子 邮件 对 于 人 们 的 工作 和 日 常生 活 来 说 至 关 重 要 ,如 何 保障 电子 邮件 的 安全 是 一 个 
重要 的 安全 主题 ,使 用 PGP 是 目前 最 流行 的 电子 邮件 保护 手段 。 

PGP 的 创始 人 是 美国 的 Phil Zimmermann, 他 的 创造 性 在 于 把 RSA 公 钥 体制 的 方便 与 
传统 加 密 体 系 的 高 效 结 合 起 来 ,并 且 在 数字 签名 和 密 钥 认 证 管理 机 制 上 有 完善 的 设计 ,因此 
PGP 已 经 成 为 一 种 事实 上 的 标准 。 

虽然 PGP 总 是 容易 与 电子 邮件 联系 在 一 起 ,但 实际 上 PGP 保护 的 范围 不 仅仅 是 电子 
邮件 ,PGP 还 能 够 实现 以 下 安全 服务 。 


1. 认证 
PGP {EJH RSA 的 数字 签名 和 SHA-1 数字 摘要 算法 实现 发 送 者 的 消息 验证 。 认 证 的 
具体 步骤 如 下 : 


CD 发 送 者 创建 报 文 ; 

(2) 发 送 者 使 用 SHA-1 生成 报 文 的 160 位 Hash 值 (数字 摘要 ); 

G) 发 送 者 使 用 自己 的 私 钥 ,通过 RSA 算法 对 数字 摘要 进行 签名 ,并 将 其 插入 到 报 文 
的 前 面 ; 

(4) 接收 者 使 用 发 送 者 的 公 钥 ,采用 RSA 签名 的 验证 算法 进行 解密 ,并 恢复 出 数字 摘要 ; 
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O 接收 者 为 报 文生 成 新 的 数字 摘要 ,并 与 被 解密 的 数字 摘要 比 对 ,如 果 两 者 一 致 , 则 
报 文 作为 已 认证 的 报 文 而 被 接收 。 

PGP 认证 的 过 程 ,如 图 9.3 所 示 。 图 中 ,M 表示 步 又 (1) 中 创建 的 报 文 消息 ,HH 表示 步 
又 (2) 中 的 Hash 函数 ,EP 表示 步骤 (3) 中 的 加 密 ( 签 名 ) 处 理 , | 表示 将 签名 插入 到 消息 前 
面 ,Z 表示 可 选 的 压缩 处 理 ,Z :表示 可 选 的 解压 缩 处 理 ,DP 表示 步骤 (4) 中 的 解密 (认证 ) 处 
理 。 此 外 ,KR 表示 发 送 方 的 私 钥 ,KU 表示 发 送 方 的 公 钥 。 

- 发 送 方 a E 接收 方 
Ege [ HOM], — 


(9-6 -(D-G) 12-69 — —3] 
M KU 比较 


KR CC) M i 


9.3 PGP 认证 过 程 


-— 


2. 机 密 性 

PGP 采用 传统 的 对 称 密 钥 算法 进行 数据 加 密 ,为 了 安全 每 个 会 话 密 钥 只 使 用 一 次 。 会 
话 密 钥 随机 产生 , 且 为 了 保护 会 话 密 钥 发送 者 使 用 接收 者 的 公 钥 对 它 进 行 加 密 。 

PGP 既 可 以 对 要 传递 的 消息 进行 加 密 , 也 可 以 对 要 存储 的 本 地 文件 实施 加 密 , 提 供 机 
密 性 服务 。 具 体 支 持 的 对 称 密 钥 算 法 包括 CAST-128 IDES 和 3DES, 并 使 用 64 位 密码 反 
馈 模式 (CFB)。 

具体 步骤 描述 如 下 : 

CD 发 送 者 生成 报 文 和 用 作 该 报 文 会 话 密 钥 的 128 位 随机 数 。 

(2) 默认 情况 下 ,发 送 者 采用 CAST-128 加 密 算法 ,使 用 会 话 密 钥 对 报 文 进行 加 密 。 

G) 发 送 者 采用 RSA 算法 ,使 用 接收 者 的 公开 密 钥 对 会 话 密 钥 进行 加 密 , 并 附加 到 报 
文 前 面 。 

(4) 接收 者 采用 RSA 算法 ,使 用 自己 的 私 钥 解 密 , 以 恢复 会 话 密 钥 。 

(5) 接收 者 使 用 会 话 密 钥 解 密 报 文 。 

PGP 机 密 性 服务 过 程 ,如 图 9.4 所 示 。 图 中 ,EC 表示 步骤 (2) 中 的 加 密 过 程 ,DC 表示 
步骤 (5) 中 的 解密 过 程 ,Ks 表示 会 话 密 钥 。 


p 发 送 方 " » 接收 方 E 
KU, Exut[(Ks)]、、 
Ks (EP) @ 
M KR, M 
Oé) OO 


9.4 PGP 机 密 性 服务 过 程 
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又 发 现 ErkusLKsj] 中 多 了 一 个 ), 应 为 Exo Ks]. 

通过 公 钥 体制 保护 会 话 密 钥 的 做 法 又 称 数字 信封 。 公 和 钥 体 制 提供 “信封 ”会 话 密 钥 则 
是 “信封 "中 的 内 容 。 

3. 机 密 性 与 认证 

在 PGP 中 ,机 密 性 服务 和 认证 服务 还 可 以 同时 提供 。 

具体 步骤 是 : 首先 为 明文 生成 签名 并 附加 到 报 文 首部 ; 然后 使 用 CAST-128( 或 IDEA, 
3DES) 对 明文 报 文 和 签名 进行 加 密 , 再 使 用 RSA 对 会 话 密 钥 进行 加 密 。 

机 密 性 与 认证 服务 过 程 , 如 图 9. 5 所 示 。 


E 发 送 方 m m 接收 方 S 
Ekub[Ks]、、 Ex [HOM], 
(br) H-E 
M 
M KR, M | KU, 
o-a © 


9.5 PGP 的 机 密 性 与 认证 服务 过 程 


4. 压缩 

PGP 在 加 密 前 先 要 压缩 ,压缩 节省 了 网 络 传输 的 时 间 和 存储 空间 。PGP 内 核 使 用 
PKZIP 算法 压缩 加 密 前 的 明文 ,对 明文 的 压缩 也 相当 于 一 次 变换 ,对 明文 攻击 的 抵御 能 力 
有 所 提升 。 

如 果 考 虑 签名 的 因素 ,压缩 的 时 机 一 般 应 在 签名 后 .加密 前 。 

压缩 之 前 生成 签名 有 以 下 好 处 ， 

(1) 验证 时 直接 验证 即 可 ,不 需要 再 次 重新 压缩 ; 

(2) 不 必 考 虑 压缩 算法 的 多 样 性 ,因为 验证 与 压缩 无 关 。 

5. 电子 邮件 的 兼容 性 

当 使 用 PGP 时 ,至 少 传输 报 文 的 一 部 分 需要 加 密 ,因此 部 分 或 全 部 的 结果 报 文 由 任意 
8 位 字 节 流 组 成 。 由 于 许多 电子 邮件 系统 只 允许 使 用 ASCII 码 的 正文 ,所 以 PGP 提供 了 
RADIX-64( 即 MIME 的 BASE64 格式 ) 转 换 方案 ,将 原始 二 进 制 流转 化 为 可 打印 的 ASCII 
字符 流 。 

6. 分 段 与 重 装 

电子 邮件 还 受 限 于 最 大 报 文 长 度 5000 字 节 的 限制 。 如 果 超 过 这 个 值 , 报 文 将 分 成 报 文 
段 , 每 个 段 单独 发 送 。 

分 段 在 所 有 其 他 的 过 程 (包括 RADIX-64 转换 ) 完 成 后 进行 。 为 提高 效率 ,会 话 密 钥 部 
分 和 签名 部 分 只 在 第 一 个 报 文 段 的 开始 位 置 出 现 一 次 。 在 接收 端 ,PGP 必须 解析 当前 的 电 
子 邮 件 首部 ,然后 重新 装配 成 原来 的 报 文 。 

图 9.6 给 出 了 一 个 PGP 报 文 的 完整 格式 。 其 中 ,Exrw 表 示 使 用 用 户 b 的 公有 密 钥 进行 
加 密 ; Errs 表 示 使 用 用 户 a 的 私有 密 钥 进行 加 密 ; Er. 表示 使 用 会 话 密 钥 加 密 ; ZIP 表示 ZIP 
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压缩 功能 ; Re 表示 RADIX-64 转换 。 


接收 者 公开 密 钥 
会 话 密 | | __ (KUb) 的 密 铜 D___ | 
22 会 话 秘 钥 (Ks) KU, 
à) d 
I TT | 
| ”发 送 者 公开 窗 钥 | 
签名 (KUa) 的 密 钥 ID 
Rss 
Ea s 
数据 
| 
1 roro 


9.6 PGP 报 文 的 完整 格式 


在 PGP 协议 中 使 用 了 公 钥 密码 体制 和 对 称 加 密 体制 ,下 面 介 绍 相关 的 密 钥 管理 问题 。 

PGP 的 会 话 密 钥 是 个 随机 数 , 基 于 ANSI X9. 17 算法 由 随机 数 生成 器 产生 。 随 机 数 生 
成 器 从 用 户 硕 键盘 的 时 间 间 隔 上 提取 随机 数 种 子 。 磁 盘 上 的 种 子 文件 randseed. bin 采用 
和 邮件 加 密 同样 强度 的 加 密 算法 ,能 有 效 地 防止 攻击 者 从 randseed. bin 文件 中 分 析出 会 话 
密 钥 产生 的 规律 。 

PGP 允许 用 户 拥 有 多 个 公 钥 私 钥 对 ,并 给 每 个 用 户 公 钥 指 定 一 个 密 钥 ID, 由 公 钥 的 最 
低 64 位 组 成 , 即 : 

ID = KU, mod 2“ 

这 个 长 度 使 密 钥 ID 重复 概率 非常 小 。 

密 钥 需要 以 一 种 系统 化 的 方法 来 存储 和 组 织 , 以 便 有 效 和 高 效 地 使 用 。PGP 在 每 个 结 
点 提供 一 对 数据 结构 ,一 个 用 于 存储 该 结 点 拥有 的 私 钥 ; 另 一 个 用 于 存储 该 结 点 知道 的 其 
他 所 有 用 户 的 公 钥 。 相 应 地 ,这 些 数 据 结 构 被 称 为 私 钥 环 和 公 钥 环 ,分 别 如 表 9. 1 和 表 9. 2 
所 示 。 


表 9.1 私 钥 环 
Hs 8] ER 密 钥 ID" AH 加 密 的 私 钥 用 户 ID* 


T; KU, mod 2% KU; EH(P;)[KR;] 用 户 i 


$93 计算 机 安全 专题 189 


表 9.2 AAR 
DES 密 钥 ID" AA 可 信用 户 HP ID” 合法 密 钥 | 签名 可 信 签 名 


T; KU; mod 2** KU; trust_flag i HP i trust_flag i — — 


由 于 PGP 主张 广泛 地 在 正式 或 非 正 式 环境 下 应 用 ,因此 没有 建立 严格 的 公 钥 管理 

如 果 A 的 公 钥 环 上 有 一 个 从 BBS 上 获得 的 B 发 布 的 公 钥 ,但 已 被 C 替换 ,这 时 就 存在 
两 条 通道 , 即 C 可 以 向 A 发 信 并 冒充 B 的 签名 ,A 以 为 是 来 自 B; A 与 B 的 任何 加 密 消息 
都 可 能 被 C 读 取 。 

为 了 防止 A 的 公 钥 环 上 包含 错误 的 公 钥 ,以 下 方法 可 用 于 降低 这 种 风险 : 

CD 物理 上 得 到 B 的 公 钥 ; 

(2) 通过 电话 验证 公 钥 ; 

G) 从 双方 都 信任 的 实体 D 处 获得 B 的 公 钥 ; 

(4) 从 一 个 信任 的 CA 中 心得 到 B 的 公 钥 (B 的 数字 证 书 )。 

只 要 涉及 公 钥 体制 ,信任 问题 就 不 可 避免 。 

PGP 主要 有 两 种 信任 模型 : 推荐 者 信任 (或 称 为 间接 信任 ) 和 公 钥 信任 (或 称 为 直接 信 
任 )。 

推荐 者 信任 是 指 相信 某 推荐 者 能 够 做 出 正确 的 推荐 ; 公 钥 信任 是 指 相信 某 用 户 与 其 公 
钥 的 对 应 关系 是 可 靠 的 。 这 两 种 信任 都 被 分 为 若干 个 等 级 ,以 表示 不 同 的 信任 程度 。 

PGP 使 用 与 实体 相 联系 的 密 钥 合 法 性 字段 ,用 来 指示 PGP 信任 程度 ,这 个 字段 是 由 
PGP 从 实体 的 一 组 签名 信任 字段 中 推导 出 来 的 。 

与 PKI 类 似 ,PGP 信任 模型 的 核心 是 数字 证 书 。 

PGP 证 书 由 以 下 三 部 分 组 成 : 

(1) 用 户 ID。 由 用 户 名 和 其 邮箱 地 址 组 成 , 形 如 : 


Ray < Ray@buct. edu. cn > 


(2) AH. HAH 人 D、 公 钥 数 据 和 创建 时 间 组 成 。 

CD 若干 签名 。 由 一 系列 对 前 两 项 对 应 关系 认同 的 推荐 者 的 签名 组 成 。 

PGP 证 书 与 X. 509 证 书 有 以 下 区 别 : 

d) X. 509 证 书 是 由 专业 CA 颁发 ,而 PGP 证 书 则 由 普通 用 户 颁发 。 

(2) PGP 使 用 安全 缺陷 容忍 机 制 (Security Fault Tolerance Mechanism) . 以 保证 即使 
在 个 别 推荐 者 做 出 错误 推荐 的 情况 下 仍 能 够 有 效 运 行 。 

例 9.1 PGP 的 应 用 实例 。 

安装 完成 PGP 以 后 ,打开 PGPKeys, 单 击 加 按钮 ,生成 一 个 新 的 密 钥 对 ,在 需要 输入 
密码 时 输入 自己 的 私 钥 ,其 界面 如 图 9.7 和 图 9. 8 所 示 。 

当 某 用 户 要 与 其 他 用 户 进 行 通信 时 ,首先 要 做 的 是 将 自己 的 公 钥 发 给 对 方 。 公 钥 可 以 
通过 Export 导出 ,如 图 9.9 所 示 。 

导出 公 钥 文件 后 ,可 以 通过 各 种 方式 发 送 给 接收 方 。 


190 计算 机 安全 与 保密 


Welcome to the PGP Key 
Generation Wizard 


In order for other people to send you secure messages, 
you must fust generate a key pair. 


Your key pair will also be used to sign digital documents. 


A key pair consists of a "Public Key." and a "Private. 
Key." The public key should be given to everyone you 
know (PGP has faciities to assist in this). The private key 


should be kept absolutely secret. 


If you would ike more information on what a key pair is 
and how PGP works, choose the PGPkeys Help menu. 


Otherwise, choose Next to continue. Expert users can 
click Expert below to have more detailed control. 


Expert 


图 9.7 PGP 产生 密 钥 对 的 界面 


ay@mail. buct. edu. cn? Vser ID 
Pa Ray Grayünail. buct. edu. cn? DSS exportable 


9.8 PGP 主 界面 


Export Key to File 


meEOD | 办 我 的 文档 socotu 
[re 

TRER 

Ame 


xHaEQ: (um 


RAFAH: [ASCII Key File (&. asc) 


Include Private Keys) 
Include & 0 Estensions 


图 9.9 导出 公 钥 文件 的 界面 
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接收 方 需要 将 发 送 方 的 公 钥 导入 到 自己 的 公 钥 环 中 ,导入 的 方式 和 导出 的 方式 类 似 。 
如 果 对 文件 进行 加 密 和 签名 ,可 以 右 击 文件 ,选择 PGP— Encrypt -Sign 选项 ,之 后 用 
户 选 择 接收 方 的 公 钥 ,然后 进行 加 密 并 附 上 自己 的 签名 ,如 图 9. 10 和 图 9. 11 所 示 。 


Ês PGPshell - Key Selection Dialog 


Drag users from this list to the Recipients list 
[Ray Gayenail buct. edu cn> 


di 2048/1024 


Recipients Ya. Size 
[:heng3 <rhang3@buct edu cn? — — yen dà 2048/1024 | 


mm ETT 
厂 Input Is Text. 

厂 Yipe Original 

[^ Conventional Encryption 


图 9.10 加 密 界面 


PGPshell - Enter Passphrase 
Sionina key: [Ray Grayensil buct. edu cr? — (SS/1024) - 
Enter passphrase lor above key: 


Iv. Hide Typing 
| 


Los ] gre | 


图 9.11 


签名 界面 
签名 是 用 户 需要 输入 自己 的 密 钥 值 。 


用 户 在 接收 到 文件 后 ,可 用 自己 的 私 钥 解 密 , 并 对 发 送 方 的 签名 进行 验证 ,如 图 9. 12 和 
图 9.13 所 示 。 


PGPshell — Enter Passphrase 


Message was encrypted to the following public key(s] 
hang3 rhang3übuct. edu. cn? (DH/2048) 


Enter passphrase for your private key - 


图 9.12 解密 界面 
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图 9.13 验证 界面 


下 面 利用 PGP 对 电子 邮件 收发 进行 加 密 和 签名 ,在 Outlook Express 中 写 好 邮件 , 然 
后 单 击 "加密 ”和 ”签名 ”按钮 ,如 图 9. 14 所 示 。 
Wi test of PGP 
文件 下) REO SEV MAV BEW IAW 邮件 如 ”帮助 如 


cà @ J 0 Hw, yn 


发 送 检查 拼写 检查 附件 irn Encrypt Sign Mes. PoPkeys 


发 件 人 rayümail buct edu cn (mail. buct. edu. en) * 


WRA: — [ray lee 


gai 
主题 JestorPcP 


es = | & TSF T] 


Hellovorld. 
Today is Sunday. 


图 9.14 写 邮件 
因为 签名 需要 用 到 自己 的 私 钥 , 所 以 需要 输入 密 钥 值 ,如 图 9. 15 所 示 。 


PGP Enter Passphrase for Selected Key PR 


Signing key [e ray@nail. buct. edu. cn> — (DSS/1024) 习 
Please enter your passphrase: [V] Hide Typing 


图 9.15 输入 签名 的 密 钥 值 


接收 到 的 邮件 如 图 9. 16 所 示 , 可 以 看 到 内 容 已 经 变 成 乱码 ,不 过 这 些 乱码 都 是 可 见 的 
字符 。 
接收 方 通过 PGP 解密 后 可 以 得 到 邮件 的 原文 ,同时 能 够 看 到 信件 的 签名 信息 ,如 图 9. 17 
所 示 。 

目前 ,PGP 的 标准 化 工作 进展 顺利 ,相关 的 RFC 文档 包括 以 下 内 容 : 

(1) RFCI991——PGP Message Exchange Formats, 

(2) RFC4880—— OpenPGP Message Format, 

(3) RFC2015—— MIME Security with Pretty Good Privacy (PGP). 

(4) RFC3156——MIME Security with OpenPGP, 
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ZO IAD 邮件 如 $5500 


| 9 & 


G Ld 检查 


RIEA  [ke@nei2 boct ehem nailbaet edu. cn) 
RA: [ay ee 
mss | 


zm hestorPGP 


一 一 -BEGIN PGP MESSAGE-—— — 
Version: PGP 8.1 


qANQR1DBwU4Di zym2Q9m2EYQB/9tvbIBRblNisS4l1UQH6g j*FlibEmR6yXdWj3N 
DiRaRT758d/DThlvbLkSBgAUvml bCqYPpbXQbUp1nc4/krTfnTF8K6IGsBÜHKh9n5 
VPNThBXHIVSZzzX/Vc jzb TURSHVM1 VHNpVcWt1 8FB3F2hK89g j89K98] qLzi SSfq 


图 9.16 加 密 后 的 邮件 


CR 


Xttq) SEO SEV IAW 邮件 如 ”帮助 
i > 

8 8S» 5 - X SD w F 
答复 全 部 答复 "x 打印 L3 地 址 Decrypt... — PGPkeys 

RPA: yay 

日 期 : 2012 年 2 月 9 日 9:44 

KIA ray lee 

主题 : test of PGP 


** PGP SIGNATURE VERIFICATION = 

m Status: Good Signature 

""Signer ray <ray@mailbuct edu.cn> (081078789) 
igned. 2012-2-3 9:44:30 

" Verfied 2012.29 3:45:44 

™ BEGIN PGP DECRYPTED/VERIFIED MESSAGE =" 


Helloworld. 
Today is Sunday. 


= END PGP DECRYPTED VERIFIED MESSAGE == 


9.17. 解密 后 的 邮件 


9.3 虚拟 专用 网 


虚拟 专用 网 (Virtual Private Network,VPN) 是 计算 机 网 络 安全 中 的 一 个 重要 技术 , 通 
过 多 种 安全 机 制 提供 了 链 路 层 和 网 络 层 上 的 安全 服务 。 


9.3.1 VPN 基本 概念 
顾名思义 ,虚拟 专用 网 可 以 理解 为 虚拟 出 来 的 企业 内 部 专线 。 它 可 以 通过 特殊 的 VPN 


协议 连接 到 Internet 上 的 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 ,建立 一 条 专 有 的 通信 线 
路 ,就 好 比 是 架设 了 一 条 专线 ,但 是 并 不 需要 真正 地 去 铺设 光缆 之 类 的 物理 线路 。 一 句 话 ， 
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所 谓 VPN ,就 是 利用 公共 网 络 建立 虚拟 私有 专用 网 。 

VPN 带 来 的 好 处 可 简单 归纳 如 下 : 

CD 降低 成 本 。 租 用 电信 的 帧 中 继 或 ATM 实现 异地 的 专 网 也 能 满足 需求 ,但 费用 非 
常 昂 贵 ,尤其 当 分 支点 比较 多 时 ,VPN 则 无 须 申请 专线 ,因此 成 本 较 低 。 

(2) 实现 网 络 安全 服务 。 一 般 的 网 络 通信 和 是 不 主动 提供 安全 服务 的 。 建 立 VPN 后 ,可 
通过 加 密 .访问 控制 ,认证 等 安全 机 制 来 实现 网 络 安全 服务 。 

G) 自主 控制 。 如 果 租 用 电信 的 专线 ,那么 对 线路 的 控制 权 在 电信 一 方 ; 而 如 果 使 用 
VPN ,那么 对 用 户 认 证 ,访问 控制 等 安全 性 的 控制 权 就 属于 VPN 所 有 者 ,这 样 更 容易 被 用 
户 接受 。 

VPN 技术 本 是 路 由 器 具有 的 重要 技术 之 一 ,目前 在 交换 机 、 防 火 墙 设备 或 Windows 系 
统 中 也 都 支持 VPN 功能 。 

根据 建立 VPN 的 目的 不 同 , 可 以 将 VPN 分 为 以 下 三 类 : 

CD 内 联网 (Intranet VPN)。 企 业内 部 虚拟 专 网 与 企业 内 部 的 Intranet 相对 应 。 

TE VPN 技术 出 现 以 前 ,公司 两 个 异地 机 构 的 局 域 网 想 要 互联 ,一 般 采 用 租用 专线 的 方 
式 ; 虽然 该 方式 可 以 采用 隧道 等 技术 ,在 一 端 将 数据 封装 后 通过 专线 传输 到 目的 地 再 解 封 
装 。 该 方式 也 能 提供 传输 的 透明 性 ,但 是 它 与 VPN 技术 在 安全 性 上 有 本 质 的 差异 。 

利用 VPN 技术 可 以 在 Internet. 上 组 建 世界 范围 内 的 Intranet VPN, 

(2) 外 联网 (Extranet VPN)。 外 联网 VPN 与 企业 网 和 相关 合作 伙伴 的 企业 网 所 构成 
的 Extranet 相对 应 。 

这 种 类 型 的 VPN 与 内 联网 VPN 没有 本 质 的 区 别 , 只 是 用 于 不 同 公司 之 间 通 信 , 所 以 
需要 更 多 地 考虑 安全 策略 的 协商 等 问题 。 外 联网 VPN 的 设计 目标 是 既 可 以 向 客户 、 合 作 
伙伴 提供 有 效 的 信息 服务 ,又 可 以 保证 自身 的 内 部 网 络 的 安全 。 

(3) WIRA (Access VPN) ,如 图 9. 18 所 示 。Access VPN( 远 程 访问 虚拟 专 网 ) 与 传 
统 的 远程 访问 网 络 相对 应 。 

网 络 A 


LT VPN 隧 首 
VPN 设 备 


LI 
CE. Internet 


9.18 远程 接 入 (Access VPN) 


在 该 方式 下 远 端 用 户 不 必 像 传统 的 远程 网 络 访问 那样 ,通过 长 途 电话 拨号 到 公司 远程 
接 入 端口 ,而 是 接 入 到 用 户 本 地 的 ISP, 利 用 VPN 系统 在 公 网 上 建立 一 个 从 客户 端 到 网 关 
的 安全 传输 通道 。 

另 一 种 分 类 方法 是 根据 网 络 类 型 的 差异 ,将 VPN 分 为 两 种 类 型 : Client-LAN 和 LAN- 
LAN 类 型 。 

显然 Intranet VPN 就 是 典型 的 LAN-LAN 类 型 ,Access VPN 就 是 典型 的 Client-LAN 
类 型 ,而 Extranet VPN 既 可 能 是 LAN-LAN 类 型 也 可 能 是 Client-LAN 类 型 。 
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VPN 的 基本 原理 ,如 图 9. 19 所 示 。 


网 络 1 网 络 2 
主机 A 
m; VPN 设 备 1 
LT 
x Internet 
VPN 设 备 2 
原 分 组 。 |A | B 用户 数据 ^|» | 用户 数据 抓 封 后 的 分 组 
4 
VPN 设 备 1 VPN 设 备 2 
sas [v] ET Te Pone] — — Àj [e EST^ o [ore] eoi 


xL ÀJ N= 
新 增 头 前 新 增 头 部 
9.19 VPN 的 基本 原理 


主机 A 向 主机 B. 发 出 类 似 于 企业 网 内 的 通信 需求 时 , 先 由 主机 A 建立 分 组 ,将 其 IP 地 
址 作为 源 地 址 ,将 主机 B 的 IP 地 址 作为 目标 地 址 ,将 分 组 发 送 到 VPN 设备 1 上 ,通常 是 
VPN 网 关 。 

分 组 到 达 VPN 设备 1,VPN 设备 1 在 分 组 中 增加 一 新 的 信息 头 部 。 在 此 分 组 中 ,将 分 
组 的 源 IP 地 址 设 为 自己 的 IP 地 址 Vi ,目标 地 址 设 为 对 等 VPN 设备 2 的 IP 地 址 Vs ,然后 
发 送 。 

分 组 通过 Internet 到 达 VPN 设备 2,VPN 设备 2 能 够 识别 新 增 的 头 部 ,对 其 进行 拆 
除 , 从 而 得 到 由 主机 A 生成 的 原 分 组 ,然后 根据 分 组 的 IP 地 址 信息 ,进行 类 似 于 企业 网 内 
的 转发 。 


9.3.2 隧道 与 封装 
由 以 上 过 程 可 以 看 出 ,在 构建 VPN 过 程 中 ,隧道 (Tunneling) 技 术 是 VPN 中 的 关键 
技术 。 


隧道 技术 是 一 种 通过 使 用 互联 网 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 

使 用 隧道 传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 包 ( 分 组 )。 隧 道 协议 将 这 些 其 他 
协议 的 数据 包 重 新 封装 (Capsule) 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 封 
装 的 负载 数据 能 够 通过 互联 网 络 传递 。 被 封装 的 数据 包 在 公共 互联 网 上 传递 时 所 经 过 的 逻 
辑 路 径 称 为 隧道 。 

隧道 的 封装 协议 主要 包括 以 下 两 类 : 

一 类 是 二 层 隧道 协议 ,由 于 隧道 协议 封装 的 是 数据 链 路 层 的 数据 包 , 即 OST 开放 系统 
互联 模型 中 的 第 二 层 的 数据 包 , 所 以 称 为 第 二 层 隧道 协议 ,如 PPTP、L2F 和 L2TP。 二 层 隧 
道 协 议 主 要 用 于 构建 Client-LAN 型 的 VPN。 

另 一 类 是 三 层 隧道 协议 ,如 IPSec, GRE 等 , 它 把 网 络 层 的 各 种 协议 直接 封装 到 隧道 协 
议 中 进行 传输 ,由 于 被 封装 的 是 OST 开放 系统 互联 模型 中 的 第 三 层 网 络 协议 ,所 以 称 为 第 
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三 层 隧道 协议 。 三 层 隧 道 协议 主要 用 于 构建 LAN-LAN 型 的 VPN, 

为 了 理解 封装 的 概念 ,下 面 以 通用 路 由 封装 协议 (Generic Routing Encapsulation, 
GRE) 为 例 来 详细 说 明 。 

了 解 GRE 协议 前 , 先 来 分 析 IP 协议 。 

IP 包 的 格式 如 图 9. 20 所 示 。 如 果 不 含 选项 域 , 则 一 般 IP 头 长 度 为 20 个 字 节 。 


版 本 首部 长 度 | 服务 类 型 总 长 度 ( 字 节 ) 
标识 标志 片 偏 移 
TTL 协议 首部 校 验 和 
源 IP 地 址 
目的 IP 地址 
选项 (可 选 ) 
数据 


9.20 PEKRE 


对 于 IPv4 来 说 ,协议 版 本 是 4。 服 务 类 型 (TOS) 域 包括 一 个 3 位 的 优先 权 子 域 ,4 位 的 
TOS 域 和 1 位 保留 位 但 必须 置 0。 总 长 度 域 是 指 整个 TP 数据 包 的 长 度 ,以 字 节 为 单位 。 利 
用 首部 长 度 域 和 总 长 度 域 , 就 可 以 知道 TP 数据 包 中 数据 内 容 的 起 始 位 置 和 长 度 。 标 识 域 则 
唯一 地 标识 主机 发 送 的 每 一 份 IP 包 ,通常 每 发 送 一 份 报 文 它 的 值 就 会 加 1。 

生存 时 间 域 TTL 设置 了 数据 包 可 以 经 过 的 最 多 路 由 器 数 , 它 指定 了 数据 包 的 生存 时 
间 。TTL 的 初始 值 由 源 主机 设置 ,每 经 过 一 个 处 理 它 的 路 由 器 , 它 的 值 就 减 去 1。 当 该 域 
的 值 为 0 时 ,数据 包 则 被 丢弃 ,并 发 送 ICMP 报 文 通知 源 主机 。 

GRE 通过 对 某 些 网 络 层 协 议 ( 如 IP 和 IPX) 的 数据 包 进 行 封装 ,使 这 些 被 封装 的 数据 
包 能 够 在 IP 中 传输 。 

不 妨 假设 隧道 传输 采用 TP 协议 ,被 封装 数据 包 采 用 IPX 协议 ,如 图 9. 21 所 示 。 


Novell IPX Novell IPX 
协议 协议 
Group 1 Group 2 


Internet E l E 
outer outer 
Tunel— 


9.21 通过 GRE 封装 IPX 


数据 包 要 在 隧道 中 传输 ,必须 经 过 封装 与 解 封装 两 个 过 程 。 

CO 封装 过 程 。 连 接 Novell Group 1 的 路 由 器 收 到 IPX 数据 包 后 ,首先 IPX 协议 检查 
IPX 报头 中 的 目的 地 址 来 确定 如 何 路 由 此 包 。 当 发 现 当 前 的 IPX 数据 包 是 要 发 送 给 
Novell Group 2 时 ,进行 封装 。 

封装 好 的 报 文 的 形式 如 图 9. 22 所 示 。IP 协议 头 是 图 9. 20 中 数据 前 面 的 部 分 ,GRE 报 
文 头 和 IPX 载荷 相当 于 IP 包 结构 的 数据 部 分 。 
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了 协议 头 ( 隧 道 传输 协议 ) GRE 协议 头 ( 封 装 协议 ) TPX 载荷 (被 封装 协议 ) 


图 9.22 已 封装 的 隧道 包 格 式 


(2) 解 封装 过 程 。 解 封装 过 程 和 封装 的 过 程 相反 ,Router B 从 隧道 接口 收 到 的 IP 报 文 
后 ,通过 检查 目的 地 址 ,发 现 目的 地 址 恰好 是 该 路 由 器 时 , 剥 掉 IP 协议 头 , 交 给 GRE 协议 处 
理 ( 检 查 校 验 和 报 文 的 序列 号 等 )。GRE 协议 处 理 后 , 剥 掉 GRE 报 文 头 后 ,再 交 给 IPX B 
议 , 像 对 待 一 般 数 据 包 一 样 对 此 数据 包 进 行 处 理 。 

GRE 报 文 头 结构 如 图 9. 23 所 示 , 各 部 分 的 含义 如 下 : 


CR|K|S|s | 递归 控制 位 | 标志 位 | 版 本 信息 位 协议 类 型 
校 验 和 (可 选 ) 偏 移 量 (可 选 7 
EATA) 
顺序 号 (可 选 ) 
路 由 (可 选 ) 


9.23 GRE 报 文 头 结构 


(D GRE 报 文 头 的 前 32 位 (4 个 字 节 ) 是 GRE 的 基本 报头 。 

其 中 前 16 位 上 是 GRE 的 标记 码 : 

第 0 位 一 一 校 验 有 效 位 (Checksum Present? 

如 果 置 “1”, 则 校 验 信息 区 有 效 ,说 明 GRE 报 文 中 校 验 信息 区 和 分 片 位 移 量 区 都 有 效 。 
默认 置 “0”。 

第 1 位 一 一 路 由 有 效 位 (Routing Present), 

如 果 置 “1”, 则 表明 分 片 位 移 量 区 和 路 由 区 有 效 ; 默认 置 “0”。 

第 2 位 一 一 密 钥 有 效 位 (Key Present) 。 

如 果 置 “1”, 表 示 在 GRE 报 文 头 中 密 钥 信息 区 有 效 ; 默认 置 “0”。 

第 3 位 一 一 顺序 号 有 效 位 (Sequence Number Present). 

如 果 置 “1”, 表 示 顺 序号 信息 区 有 效 ; 默认 置 “0”。 

第 4 位 一 一 严格 源 路 由 有 效 位 (Strict Source Route), 

只 有 在 保证 所 有 路 由 信息 均 采用 严格 源 路 由 方式 时 ,该 位 才 置 “1”; 默认 置 “0”。 

第 5 位 一 一 递归 控制 位 (Recursion Control) 。 

包括 3 位 无 符号 整数 , 指 被 允许 的 附加 封装 次 数 ; 默认 设置 都 为 "0”。 

5 一 12 位 一 一 保留 ,目前 必须 都 被 置 为 0。 

13—15 位 一 一 保留 的 版 本 信息 位 (Version Number) ,目前 被 置 为 000 。 

(2) GRE 报 文 头 的 后 16 位 是 协议 类 型 (Protocol Type) ,表明 有 效 数据 报 的 协议 类 型 。 
最 基本 的 是 以 IP 协议 和 IPX 协议 ,分 别 对 应 的 协议 号 为 0x8000、0x8137。 

CD 下 面 是 可 选 的 GRE 报 文 头 区 (默认 则 没有 )。 

校 验 和 (Checksum)16 位 : 校 验 和 包含 GRE 头 和 有 效 分 组 补充 的 IP 校 验 。 如 果 路 由 
有 效 位 或 校 验 有 效 位 有 效 , 则 此 区 域 有 效 。 

偏 移 量 (Offset)16 位 : 偏 移 量 表 示 从 路 由 区 开始 到 活动 的 被 检测 的 源 路 由 入 口 
(Source Route Entry) 的 第 一 个 字 节 的 偏 移 量 。 当 且 仅 当 路 由 有 效 位 或 校 验 有 效 位 有 效 则 
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此 区 域 有 效 。 

密 钥 (Key)32 位 : 密 钥 区 包含 封装 操作 插入 的 32 位 二 进 制 数 , 它 可 以 被 接收 者 用 来 证 
实 分 组 的 来 源 。 当 密 钥 位 有 效 时 此 区 域 有 效 。 

顺序 号 (Sequence Number)32 位 : 顺序 号 包括 由 封装 操作 插入 的 32 位 无 符号 整数 ,被 
接收 方 用 来 对 那些 做 了 封装 的 报 文 建立 正确 的 次 序 。 

(4) 最 后 是 长 度 不 定 的 路 由 (Routing) 。 

以 上 便 是 一 个 完整 的 GRE 报 文 头 。 正 是 GRE 文件 头 的 支持 ,保证 了 GRE 能 够 有 效 
地 完成 隧道 功能 。 

有 关 GRE 更 详细 说 明 可 参考 RFCI701 fil RFC1702 文档 。 


9.3.3 认证 协议 


VPN 的 另 一 个 关键 技术 是 用 户 认证 ,用 户 认证 主要 由 PPP 功能 实现 。 

点 到 点 协议 (Point-to-Point Protocol,PPP) 最 初 的 目的 是 希望 通过 拨号 或 专线 方式 建 
立 点 对 点 连接 来 交换 数据 ,使 其 成 为 各 种 主机 和 路 由 器 之 间 简 单 连 接 的 通用 解决 方案 。 

PPP 协议 提供 了 解决 链 路 建立 、 维 护 、 拆 除 、 上 层 协议 协商 认证 等 问题 的 完整 方案 ,并 
支持 全 双 工 方式 。 

PPP 包含 以 下 几 个 部 分 ， 

(1) 链 路 控制 协议 (Link Control Protocol, LCP). LCP 负责 创建 、 维 护 或 终止 一 次 物 
理 连接 。 

(2) 网 络 控制 协议 (Network Control Protocol, NCP) 。NCP 是 一 族 协 议 , 主 要 负责 确 
定 物 理 连接 上 运行 的 是 什么 网 络 协议 ,并 解决 上 层 网 络 协议 出 现 的 问题 。 

(3) 认证 协议 。 最 常用 的 认证 协议 是 口令 验证 协议 和 挑战 /握手 验证 协议 。 

一 个 典型 的 链 路 建立 过 程 分 为 以 下 几 个 步骤 : 

(1) 创建 PPP HER. LCP 负责 创建 链 路 ,对 基本 的 通信 方式 进行 选择 。 

具体 做 法 是 : 链 路 两 端 设备 通过 LCP 向 对 方 发 送 配 置信 息 报 文 (Configure Packets), 
一 旦 一 个 配置 成 功 信 息 包 (Configure-Ack Packet) 被 发 送 且 被 接收 ,就 完成 了 交换 ,进入 
LCP 开启 状态 。 

在 链 路 创建 阶段 ,只 对 验证 协议 进行 选择 ,用 户 验证 将 在 下 一 阶段 实现 。 

(2) 用 户 验 证 。 在 这 个 阶段 ,客户 端 会 将 自己 的 身份 发 送 给 远 端的 接 入 服务 器 。 在 认证 
完成 之 前 ,禁止 从 认证 阶段 直接 进入 到 网 络 层 协议 阶段 。 如 果 认 证 失败 ,进入 链 路 终止 阶段 。 

在 这 一 阶段 中 ,只 有 LCP、 认 证 协议 和 链 路 质量 监视 协议 的 协议 数据 是 被 允许 通过 ,其 
他 的 数据 将 被 丢弃 。 

(3) PPP 回 呼 控 制 (Call Back Control). WA Fiti hI PPP 还 包括 一 个 可 选 的 回 呼 
控制 协议 (CBCP)。 

如 果 配 置 使 用 回 呼 ,那么 在 验证 之 后 远程 客户 和 网 络 接 入 服务 器 (Network Access 
Server, NAS) 之 间 的 连接 将 被 断 开 , 然 后 由 NAS 使 用 特定 的 电话 号 码 回 呼 远程 客户 。 

这 种 方法 作为 一 种 选择 ,可 以 进一步 保证 拨号 网 络 的 安全 性 。 

(4) 调用 网 络 层 协 议 。 认 证 阶段 完成 之 后 ,PPP 将 调用 在 链 路 创建 阶段 选 定 的 各 种 网 
络 控制 协议 。 选 定 的 NCP 解决 PPP 链 路 上 的 高 层 协议 问题 ,如 在 该 阶段 IP 控制 协议 可 以 
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向 所 入 用 户 分 配 动态 地 址 。 
经 过 以 上 几 个 过 程 以 后 ,一 条 完整 的 PPP 链 路 就 建立 起 来 了 。 
PPP 协议 过 程 状态 图 如 图 9. 24 所 示 。 


仿 测 到 载波 协商 一 些 选项 
检测 到 载波 | 建立 | 协商 一 些 选项 _ 验证 
失败 验证 通过 
Y 
静止 一 一 一 失败 网 络 
i 
载波 停止 NCP 配 置 


NAS 建立 连接 ,获取 NAS 提供 的 有 用 资源 。 


通信 结束 


9.24 PPP 协议 过 程 状态 图 


在 用 户 验 证 过 程 中 ,PPP 支持 下 列 认证 方式 : 
d) 口令 验证 协议 。 口 令 验 证 协议 (Password Authentication Protocol，PAP) 是 一 种 
简单 的 明文 验证 方式 ,如 图 9. 25 所 示 。 
NAS 要 求 用 户 提供 用 户 名 和 密码 ,PAP 以 明文 方式 返回 用 户 信息 。 显 然 这 种 验证 方 
式 的 安全 性 较 差 ,攻击 者 可 以 很 容易 地 获取 被 传送 的 用 户 名 和 密码 ,并 利用 这 些 信 息 与 


打开 下 一 一 一 


(2) 挑战 /握手 验证 协议 。 挑 战 /握手 验证 协议 (Challenge-Handshake Authentication 
Protocol,CHAP) 是 一 种 加 密 的 验证 方式 ,能 够 避免 建立 连接 时 传送 用 户 密码 的 明文 ,如 


图 9.26 所 示 。 


被 用 户 名 /密码 m 
验 
á 

确认 2 


9.25 PAP 认证 


验 


=| 挑战 


证 e 


响应 je 


成 功 


9.26 CHAP 验证 


NAS 作为 验证 端 ,向 远程 用 户 发 送 一 个 挑战 口令 ,其 中 包括 会 话 ID 和 一 个 任意 生成 的 
挑战 字 串 。 远 程 客户 必须 返回 用 户 名 ,挑战 口令 ,会 话 ID 以 及 用 户口 令 , 其 中 用 户 名 以 明文 


的 方式 发 送 ,其 他 信息 则 是 通过 MDS 摘要 算法 计算 出 Hash fft. 


CHAP 为 每 一 次 验证 随机 生成 一 个 挑战 字 串 来 防止 受到 攻击 (Replay Attack)。 在 整 
个 连接 过 程 中 ,CHAP 将 不 定时 地 向 客户 端 重复 发 送 挑战 口令 ,从 而 避免 攻击 者 假冒 远程 


客户 进行 攻击 。 


PPP 帧 的 具体 格式 如 图 9. 27 所 示 。 


标志 
Ox7E 
1Byte 


地 址 
OxFF 
lByte 


控制 协议 
0x03 
lByte | 2Byte 


数据 (一 1500 字 节 ) 


FCS | 标志 
Ox7E 
2Byte lByte 


9.27 PPP 帧 格式 
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PPP 帧 的 长 度 都 是 整数 个 字 节 。 

PPP 的 帧 格式 前 3 个 字段 固定 为 0x7E、0xFF 和 0x03. 

协议 字段 由 两 个 字 节 组 成 。 字 段 中 第 8 位 必须 是 0, 最 后 一 位 必须 为 1 。 

在 “0x0 sex ”到 “0x3 xxx ”内 的 协议 字段 ,表示 特殊 数据 包 的 网 络 层 协议 。 

在 “0x8 sex ”到 “0xb xxx ”内 的 协议 字段 ,表示 数据 包 属 于 网 络 控制 协议 。 

在 “0x4 xxx ”到 “0x7 xxx ”内 的 协议 字段 ,表示 没有 相关 NCP 的 低 通信 量 协议 。 
在 “0xc xxx ”到 “0xf xxx ”内 的 协议 字段 ,表示 数据 包 属 于 链 路 层 控制 协议 。 
以 下 的 值 作 为 保留 ; 


0xC021 链 路 控制 协议 LCP 
0xC023 密码 认证 协议 PAP 
0xC025 链 路 品质 报告 LQR 
0xC223 挑战 /握手 验证 协议 CHAP 
Ox8021 IP 控制 协议 IPCP 

0x0021 IP 协议 

Ox0003—0x001F ”保留 

0x007D 保留 

0x00CF 保留 

0x00FF 保留 

Ox8001—0x801F ”保留 

0x807D 保留 

Ox80CF 保留 

Ox80FF 保留 

FCS 字段 为 整个 帧 的 循环 宛 余 校 验 码 ,计算 范围 为 PPP 帧 去 掉 帧 头 和 帧 尾 标 志 两 个 字 


即使 使 用 所 有 的 帧 头 字 段 ,PPP 协议 帧 也 只 需要 8 个 字 节 就 可 以 完成 封装 。 如 果 在 低 
速 链 路 上 或 者 带宽 需要 付费 的 情况 下 ,PPP 协议 允许 只 使 用 最 基本 的 字段 ,将 帧 头 的 开销 
压缩 到 2 或 4 个 字 节 的 长 度 ,这 就 是 所 谓 的 PPP 帧 头 压缩 。 

一 个 LCP 包 被 封装 在 PPP 数据 域 中 ,该 PPP 协议 域 表 示 为 0xC021。LCP 包 的 格式 如 
图 9. 28 所 示 。 


代码 标识 符 长 度 


数据 
lByte lByte 2Byte 


9.28 LCP 包 格式 


代码 域 表示 LCP 包 的 种 类 如 下 。 

OD 链 路 配置 包 : 用 于 建立 和 配置 链 路 。 

(2) 链 路 结束 包 : 用 于 结束 一 个 链 路 。 

(3) 链 路 维修 包 : 用 于 管理 和 调试 一 个 链 路 。 

标识 符 在 匹配 请 求 和 回复 中 使 用 。 当 带 有 无 效 标识 符 域 的 包 被 接收 时 候 ,该 包 将 被 
ER. 
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长 度 域 指出 LCP 包 的 长 度 , 包 括 代码 、 标 识 符 ,长度 和 数据 域 。 该 长 度 必须 不 超过 链 路 
的 最 大 接收 单元 (MRU) ,长 度 域 以 外 的 字 节 被 忽略 。 

数据 域 是 零 或 多 个 8 位 字 节 ,由 长 度 域 声明 。 数 据 域 的 格式 由 代码 域 决定 。 

有 关 LCP 更 详细 说 明 可 参考 RFCI661 文档 。 

具体 的 PAP 包 格式 如 图 9. 29 所 示 。 


PPP Wik | PPP 协议 域 | 代码 | 标识 符 | KE 


数据 
0x7EFF03 | 0xC023 1Byte | 1Byte | 2Byte 


9.29 PAP 包 格式 


代码 域 代表 PAP 包 的 类 型 如 下 : 
(OD 0x01 表示 认证 请 求 (Authenticate-Request); 
(2) 0x02 表示 认证 应 答 (Authenticate-Ack); 
(3) 0x03 表示 认证 无 应 答 (Authenticate-Nak)。 
标识 符 用 于 请 求 和 响应 的 匹配 。 
长 度 域 表 示 PAP 包 的 长 度 , 包 括 代码 域 . 标 识 符 和 数据 域 。 超 出 长 度 域 中 长 度 值 的 字 
节 将 被 抛弃 。 
数据 域 是 零 个 或 多 个 字 节 ,其 格式 由 代码 域 决定 。 
具体 的 CHAP 包 格 式 如 图 9. 30 所 示 。 
PPP 帧 头 | PPP 协议 域 | 代码 | 标识 符 | 长 度 
Ox7EFF03 | 0xC023 | 1Byte | 1Byte | 2Byte 


数据 


9.30 CHAP 包 格 式 


代码 域 表 示 CHAP 包 的 类 型 : 挑战 应答 LU WC. 

标识 符 用 于 挑战 .应答 和 响应 的 匹配 。 

长 度 域 表示 CHAP 包 的 长 度 , 包 括 代码 .长度 和 数据 字段 。 超 出 长 度 的 部 分 将 被 抛弃 。 

数据 域 是 零 个 或 多 个 字 节 ,数据 格式 由 代码 域 确定 。 

PPP 协议 是 目前 广域网 上 应 用 最 广泛 的 协议 之 一 ,具备 用 户 验 证 能 力 , 可 以 解决 IP 分 
配 问 题 。 随 着 宽带 以 太 网 的 发 展 ,在 以 太 网 上 运行 PPP. 协议 来 进行 用 户 认 证 接 人 的 方式 成 
为 当前 家 庭 宽 带 的 主流 , 称 为 PPPoE, 

PPPoE 是 PPP 协议 的 一 个 应 用 ,这 里 不 再 袭 述 。 

此 外 ,将 PAP 和 CHAP 进一步 扩展 还 可 以 得 到 PPP 扩展 认证 协议 (EAP) ,这 种 认证 
协议 也 逐渐 成 为 主流 。 

EAP 并 不 在 链 路 建立 阶段 指定 认证 方法 ,而 是 把 这 个 过 程 推迟 到 验证 阶段 。 于 是 验证 
方 就 可 以 在 得 到 更 多 的 信息 后 决定 使 用 什么 认证 方法 。 这 种 机 制 还 允许 PPP 验证 方 简单 
地 把 收 到 的 认证 报 文 传 给 后 方 的 认证 服务 器 ,由 后 方 的 认证 服务 器 来 真正 实现 各 种 认证 
方法 。 

后 方 的 认证 服务 器 通常 采用 RADIUS(Remote Authentication Dial In User Service) 
方案 。 

RADIUS 是 为 了 接 入 服务 器 开发 的 认证 系统 , 它 具 有 集中 管理 远程 访问 “拨号 用 户 ” 的 
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数据 库 功 能 。 换 句 话 说, RADIUS 是 存放 用 户 的 “用 户 名 ”和 “口令 ”的 数据 库 。 接 受 远程 用 
户 访问 请 求 的 接 人 服务 器 向 RADIUS 服务 器 查询 该 用 户 是 否 为 合法 用 户 。 
有 关 RADIUS 的 更 详细 说 明 可 参考 RFC2085 文档 。 


9.3.4 安全 关联 


VPN 的 另 一 个 关键 技术 是 安全 关联 (Security Association. SA). SA 主要 用 于 IPSec 
型 的 VPN 中 。 

IPSec 提供 身份 鉴别 和 信息 加 密 服 务 。 为 实现 这 一 目标 ,通信 双方 在 通信 之 前 必须 协 
商 好 采用 哪 种 安全 协议 .加密 算法 以 及 相关 密 钥 等 问题 。 所 谓 的 安全 关联 SA ,就 是 通信 双 
方 协商 好 的 安全 通信 的 构建 方案 ,是 通信 双方 共同 的 约定 。 

SA 是 单 工 的 ,是 从 业务 流 的 发 送 方 到 接收 方 的 一 个 单 向 逻辑 关系 。 在 实际 应 用 中 的 
双向 的 点 到 点 连接 中 ,需要 提供 两 个 SA。 

安全 关联 由 如 下 3 个 参数 唯一 确定 。 

COD 安全 参数 索引 (Security Parameters Index, SPD; SPI 是 一 个 长 度 为 32 位 的 数据 ， 
接收 方 用 SPI 唯一 地 确定 一 个 具体 的 SA. 

(2) IP 目的 地 址 : 即 SA 中 接收 方 的 IP 地 址 。 

(3) 安全 协议 标识 符 : 用 以 标识 通信 双方 采用 的 是 AH 协议 还 是 ESP 协议 ,后 面 还 会 
介绍 。 

除 以 上 3 个 主要 参数 外 ,SA 还 包含 以 下 参数 。 

CD 顺序 号 计数 器 (Sequence Number Counter) : 表示 AH 或 ESP 报头 中 的 顺序 号 。 

(2) 顺序 号 溢出 标志 (Sequence Counter Overflow): 表示 顺序 号 的 溢出 。 

(3) 防 重 放 窗 口 (Anti-replay Window): 用 来 判断 AH 或 ESP 数据 包 是 否 重 放 。 

(D AH 信息 : 所 采用 AH 的 身份 鉴别 算法 、 密 钥 、 密 钥 生 命 周 期 和 其 他 一 些 相 关 
参数 。 

(5) ESP 信息 : 所 采用 ESP 的 身份 鉴别 算法 、 密 钥 、 密 钥 生 命 周 期 和 其 他 一 些 相关 
参数 。 

(6) SA 的 生命 周期 : 表示 在 此 时 间 间 隔 以 后 ,SA 结束 或 者 被 一 个 新 的 SA 所 替代 。 

(7) IPSec 协议 模式 : 传输 模式 或 隧道 模式 。 

(8) 路 径 最 大 传输 单元 (Path MTU): 指 能 传输 的 最 大 数据 包 的 长 度 。 

AH 信息 和 ESP 信息 仅 当 采用 AH 协议 或 ESP 协议 时 要 求 必 填 外 ,其 他 参数 在 两 种 协 
议 中 都 被 要 求 必 填 。 

要 建立 SA ,一 般 需 要 使 用 因特网 密 钥 交换 协议 (Internet Key Exchange. IKE) (参见 
RFC2409), IKE 具有 一 套 自 保护 机 制 ,可 以 在 不 安全 的 网 络 上 安全 地 分 发 密 钥 、 认 证 身份 
并 建立 SA。 

IKE 协商 分 为 以 下 两 个 阶段 。 

第 一 阶段 称 为 主 模式 协商 。 

在 网 络 上 建立 安全 通道 ,为 双方 进一步 的 IKE 通信 提供 机 密 性 、 消 息 完整 性 以 及 消息 
源 认 证 服务 。 具 体 包 括 以 下 过 程 : 

CD 策略 协商 。 在 这 一 步 中 ,就 4 个 强制 性 参数 值 进 行 协商 : 加 密 算法 .Hash 算法 、 认 
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证 方法 和 Diffie-Hellman 参数 的 协商 。 

(2) 密 钥 交换 。 在 彼此 交换 密 钥 生 成 种 子 后 ,两 端 主机 可 以 各 自生 成 出 完全 一 样 的 共 
FERH ,保护 其 后 的 认证 过 程 。 

(3) 认证 。 密 钥 交 换 需要 得 到 进一步 认证 ,如 果 认 证 不 成 功 ,通信 将 无 法 继续 下 去 。 主 
密 钥 对 通信 实体 和 通信 信道 进行 认证 。 在 这 一 步 中 ,整个 待 认 证 的 实体 数据 ,包括 实体 类 
型 .端口 号 和 协议 , 均 由 前 一 步 生成 的 主 密 钥 提供 保密 性 和 完整 性 保证 。 

第 二 阶段 称 为 快速 模式 协商 。 
主要 包括 以 下 过 程 : 

CD 策略 协商 。 确 定 使 用 哪 种 IPSec 协议 (AH 还 是 ESP); 确定 是 否 要 求 加 密 , 如 果 需 
要 加 密 , 将 建立 起 两 个 SA ,分 别 用 于 入 站 和 出 站 通信 ; 确定 Hash 算法 。 

(2) 会 话 密 钥 种 子 的 刷新 或 交换 。 

(3) SA 和 密 钥 连同 SPI, 通 过 接口 传递 给 IPSec 驱动 程序 。 

分 两 个 阶段 建立 SA 有 利于 提高 密 钥 交换 速度 。 第 一 阶段 SA 建立 起 安全 通道 后 保存 
在 高 速 缓存 中 ,在 此 基础 上 可 以 建立 多 个 第 二 阶段 SA 协商 ,从 而 提高 整个 建立 SA 过 程 的 
速度 。 只 要 第 一 阶段 SA 不 超时 ,就 不 必 重 复 第 一 阶段 的 协商 和 认证 。 允 许 建立 的 第 二 阶 
Bt SA 的 个 数 则 由 IPSec 策略 决定 。 

在 VPN 设备 上 ,有 一 个 标准 的 安全 关联 数据 库 (Security Association Database,SAD)， 
其 中 存放 了 每 一 个 SA 的 相关 参数 。 


9.3.5 PPTP 协议 与 L2TP 协议 


基于 前 面 的 隧道 技术 (封装 ) .认证 技术 和 安全 关联 技术 , 接 下 来 将 介绍 PPTP 协议 与 
L2TP 协议 。 

1. PPTP 协议 分 析 

点 对 点 隧道 传送 协议 (Point-to-Point Tunneling Protocol，PPTP) 是 由 3Com 和 
Microsoft 公司 合作 开发 的 第 一 个 用 于 VPN 的 协议 ,Windows 中 全 面 支持 该 协议 。 

前 面 介 绍 过 的 PPP、PAP、CHAP 和 GRE 协议 构成 了 PPTP 协议 的 基础 。 

PPTP 的 隧道 通信 和 包括 以 下 3 个 过 程 : 

(1) PPP 连接 和 通信 。 

(2) PPTP 控制 连接 。 它 建立 到 PPTP 服务 器 上 的 连接 ,并 形成 一 个 虚拟 隧道 。 

G) PPTP 数据 隧道 。 在 隧道 中 PPTP 协议 建立 包含 加 密 的 PPP 包 的 IP 数据 包 ,这 些 
数据 包 通 过 PPTP 隧道 进行 收发 。 

后 面 的 过 程 取决 于 前 面 过 程 的 成 功 与 否 。 如 果 有 一 个 过 程 失 败 了 ,那么 整个 过 程 都 必 
须 重 来 。 

PPTP 协议 在 一 个 已 存在 的 IP 连接 上 封装 PPP 会 话 , 而 不 管 IP 连接 是 如 何 建立 的 。 
也 就 是 说 ,只 要 网 络 层 是 连通 的 ,就 可 以 运行 PPTP 协议 。 

PPTP 协议 将 控制 包 与 数据 包 分 开 ,控制 包 采 用 TCP 方式 传输 ; 数据 包 部 分 先 封装 在 
PPP 协议 中 ,然后 封装 到 GRE 协议 中 ,如 图 9. 31 所 示 。 

在 PPTP 中 ,GRE 用 于 在 标准 IP 包 中 封装 协议 数据 包 , 因 此 PPTP 可 以 支持 多 种 协 
议 , 包 括 IP.IPXNETBEUI 等 。 
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3 3 y PPP (s 
IP% | GRE 头 | PPP: | Ip 数 据 包 、IPX 数 据 包 、NETBEUI 帆 
|_ PPPbji 


图 9.31 PPTP 协议 
PPTP 协议 是 一 个 面向 中 小 企业 的 VPN 解决 方案 , 它 的 安全 性 不 算 太 好 ,有 些 场合 其 
至 比 PPP 协议 还 要 弱 , 因 此 不 适合 安全 性 要 求 高 的 场合 。 
2. L2TP 协议 分 析 


二 层 隧 道 协议 (Layer 2 Tunneling Protocol,L2TP) 将 网 络 层 数据 包 封装 在 PPP 帧 中 ， 
然后 通过 IP、X. 25. FR 和 ATM 网 络 中 的 任何 一 种 点 到 点 串 行 链 路 进行 传送 。 
图 9. 32 是 通过 IP 传送 L2TP 协议 数据 示意 图 。 


, ; 7 PPP 载 茶 
IP | VDE | L2TPÀ; | PEP FA IPX% NETBEUIW 
L PPPbji | 
LTP 帆 s 
S UDP 消息 z| 


9.32 IP 传送 L2TP 协议 数据 示意 图 
L2TP 消息 有 控制 消息 与 数据 消息 两 种 类 型 。 控 制 消息 用 来 建立 、 保 持 、 清 除 隧道 , 数 
据 消息 用 来 封装 在 隧道 中 传送 的 PPP 帧 。 
图 9.33 是 L2TP 协议 的 结构 。 


PPP bii 

L2TP 数据 消息 L2TP 控制 消息 

L2TP 数据 信道 (不 可 靠 ) L2TP 控制 信道 (可 靠 ) 
包 传输 (UDP、.FR ATM 等 ) 


9.33 L2TP 协议 结构 


图 9. 34 是 L2TP 的 头 格式 。 


TILIxIxISIxIOIPIxixixix Ver 长 度 (可 选 ) 
隧道 ID 会 话 ID 

Ns( 可 选 ) Nr( 可 选 ) 

偏 移 量 (可 选 ) 偏 移 填充 (可 选 ) 


9.34 L2TP 头 格式 


L2TP 控制 信道 与 数据 信道 的 包 具 有 相同 的 头 格式 。 其 中 : KE, Ns, Nr 对 数据 消息 
来 说 是 可 选 的 ,但 对 控制 消息 则 是 必需 的 。 

在 图 9. 34 中 ,TT 表示 消 息 类 型 ,0 为 数据 消息 ,1 为 控制 消息 ; L 表示 长 度 域 的 存在 ,0 表 
示 不 存在 ,1 表示 存在 ; x 保留 ; S 表 示 Ns 与 Nr 域 的 存在 ,0 表示 不 存在 ,1 表示 存在 ; O 表示 
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偏 移 量 域 的 存在 ,0 表示 不 存在 ,1 表示 存在 ; P 表 示 数 据 的 处 理 方式 ; Ver 为 2 时 表示 L2TP。 

L2TP 定义 了 以 下 4 类 控制 消息 。 

CD 控制 连接 管理 消息 : 

0( 保 留 值 ) 

1(SCCRQ)Start-Control-Connection-request 

2(SCCRP)Start-Control-Connection-Reply 

3(SCCCN)Start-Control-Connection-Connected 

4(StopCCN) Stop-Control-Connection-Notification 

5( 保 留 值 ) 

6C HELL) Hello 

(2) 调用 管理 消息 : 

7(OCRQ)Outgoing-Call-Request 

8(OCRP) Outgoing-Call-Reply 

9(OCCN) Outgoing-Call-Connected 

10(ICRQ)Incoming-Call-Request 

11(ICRP)Incoming-Call-Reply 

12(ICCN )Incoming-Call-Connected 

13( 保 留 值 ) 

14(CDN)Call-Disconnect-Notify 

(3) 错误 报告 消息 : 

15(WEN)WAN-Error-Notify 

(4) PPP 会 话 控 制 消息 : 

16CSLDSet-Link-Info 

L2TP 的 控制 连接 协议 对 隧道 的 建立 .保持 .认证 和 清除 进行 了 规定 ,可 参考 RFC2661 
文档 。 

尽管 PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ,然后 添加 附加 包头 用 于 数据 在 
互联 网 上 的 传输 ,但 实质 上 它们 之 间 有 很 大 的 差别 。 

(1) PPTP 要 求 传输 网 络 为 IP 网 络 。L2TP 对 传输 网 络 的 要 求 不 高 ,可 以 在 IP( 使 用 
UDP) , 帧 中 继 永久 虚拟 电路 (PVCs) , X. 25 虚 电 路 以 及 ATM 虚 电路 上 使 用 ,也 就 是 说 
L2TP 只 要 求 提供 面向 数据 包 的 点 对 点 连接 即 可 。 

(2) PPTP 只 能 在 两 点 之 间 建 立 单一 隧道 ,L2TP 允许 在 两 点 间 建 立 多 个 隧道 。 使 用 
L2TP 用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 ,这 是 很 有 用 的 功能 ,而 PPTP 不 具备 
这 一 功能 。 

G) L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ,系统 开销 仅 占 用 4 个 字 节 ,而 PPTP 协 
议 必须 占用 6 个 字 节 。 

(4) L2TP 可 以 提供 隧道 验证 ,而 PPTP 则 不 支持 。 

例 9.2 Windows XP 下 配置 PPTP/L2TP 客户 端 实例 。 

配置 过 程 如 下 : 

在 “网 络 邻 居 ” 图 标 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,在 打开 的 界面 中 单 击 
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“创建 一 个 新 的 连接 ”, 青 在 网 络 连 接 界面 中 选中 “连接 到 我 的 工作 场所 的 网 络 " 单 选 按钮 , 然 
后 根据 网 络 连接 向 导 建 立 VPN 的 连接 (客户 端 ), 如 图 9. 35 所 示 。 


网 络 连 接 c 
您 想 要 在 工作 点 如 何 与 网 络 连 接 ? 


BRETADER- 


OORSEE) 
QNUM WARE URN, GEB S ESTERI SIM MRE 


COREEUE RIFISAEERE QD) 
使 用 虚拟 专用 网 络 WP 通过 Internet 连接 到 网络 。 


《上 一 步 @@) 


9.35 用 网 络 连接 向 导 建立 VPN 连接 

右 击 已 建立 的 虚拟 专用 网 络 图 标 ,选择 “属性 ”选项 ,可 详细 配置 VPN 的 属性 。 

如 图 9. 36 所 示 , 可 以 选择 隧道 协议 类 型 ,Windows XP 支持 PPTP 和 L2TP 两 种 隧道 
协议 ,也 可 以 设置 成 自动 选择 隧道 协议 。 

也 可 以 设置 数据 加 密 类 型 和 身份 认证 协议 ,如 图 9. 37 所 示 。 


e 谋 拟 专用 网 络 连接 属性 


336m) 
RENE QOREGGIHECHERO ~] 
pecsi] 
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Te ~ 
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回 £t 网 络 的 文件 和 打印 机 共享 
osoft 网 络 客户 端 


506 dr REW 


他 用 旧版 IE-cHE qp 
z P BRUMEN. TERRES ETUR FI eros 2 Ms-CHAF vod 

n . ER 
Wade - 


AP 的 协议 ， 富 动 使 用 我 的 Windows 登录 名 和 密码 
3p) 


m anu Ls 1[ sa ) 


图 9%.36 选择 隧道 协议 类 型 图 9.37 数据 加 密 和 身份 验证 协议 设置 


此 外 ,对 该 VPN 连接 还 可 设置 以 下 参数 ， 

(1) 目的 主机 名 或 目的 IP 地 址 。 

(2) 重 拨 参 数 ( 重 拨 次 数 、 重 拨 间 隔 、 挂 断 前 的 空闲 时 间 \ 断 线 是 否 重 拨 ) 。 
(3) 是 否 提示 名 称 、 密 码 和 证 书 。 

(4) 是 否 此 连接 共享 。 
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(5) 是 否 启用 LCP 扩展 。 

(6) 是 否 启用 软件 压缩 。 

(7) 是 否 为 单 链 路 连接 协商 多 重 链接 。 

例 9.3 Windows 2000 Server 下 配置 PPTP/L2TP 服务 器 。 

配置 过 程 如 下 : 

执行 “程序 ”>“ 管 理工 具 ”>“ 路 由 和 远程 访问 ”命令 ,在 “本 地 属性 ”中 选择 “远程 访问 服 
务 器 ”选项 可 以 建立 PPTP/L2TP 服务 器 。 

9. 38 是 配置 隧道 类 型 的 窗口 ,Windows 2000 Server 支持 GRE、PPTP 和 L2TP 等 隧 
道 类 型 。 


图 9.38 ”隧道 类 型 窗口 


9. 39 是 对 身份 验证 ,加密 等 安全 性 选项 的 设置 , Windows 2000 Server 支持 MS- 
CHAP,CHAP,PAP 等 多 种 认证 方式 。 


图 9.39 身份 验证 ,加密 等 选项 的 设置 


默认 状态 下 , Windows 2000 Server 支持 的 VPN 端口 数 是 5 个 ,必要 时 端口 数量 还 可 
以 进行 调整 。 


208 计算 机 安全 与 保密 


9.3.6 IPSec 协议 


IPSec 是 IETF 为 保证 在 Internet. 上 传送 数据 的 安全 保密 性 能 而 制定 的 三 层 隧 道 加 密 
协议 ,在 IP 层 对 IP 报 文 提 供 安全 服务 。 该 协议 中 定义 了 如 何在 IP 数据 包 中 增加 字段 来 提 
供 安全 机 制 : 数据 源 认 证 、 完 整 性 保护 ,机密 性 保护 和 防 重 放 保护 等 。 

IPSec 提供 了 两 个 主机 之 间 、 两 个 安全 网 关 之 间 或 主机 和 安全 网 关 之 间 的 保护 。 

所 谓 安全 网 关 , 是 指 实现 IPSec 协议 的 一 个 中 间 系 统 。 例 如 ,一 个 实现 了 IPSec 的 路 由 
器 、 防 火 墙 或 一 台 服务 器 就 是 一 个 安全 网 关 。 

IPSec 协议 主要 包括 AH 协议 ESP 协议 两 个 协议 。 

AH 协议 可 提供 数据 源 认证 和 数据 完整 性 校 验 功能 ; ESP 协议 除 可 提供 数据 认证 和 完 
整 性 校 验 功能 外 ,还 提供 对 TP 报 文 的 加 密 功 能 。 

IPSec 有 隧道 (Tunnel) 和 传输 (Transport) 两 种 工作 模式 。 传 输 模式 只 能 适合 PC 到 
PC 的 场景 ,而 隧道 模式 可 用 于 任何 情形 。 

1. 认证 头 (AH) 

认证 头 (Authentication Header. AH) 由 下 一 头 、 净 荷 长 度 、 保 留 值 .安全 参数 索引 
(SPD .序列 号 .认证 数据 (可 变 )6 个 域 组 成 ,如 图 9. 40 所 示 。 

下 一 头 ELIT: 保留 什 
安全 参数 索引 (SPD) 
序列 号 
认证 数据 (可 变 ) 


9.40 认证 头 格式 


这 些 域 都 是 强制 性 的 。 
AH 既 支 持 传输 模式 又 支持 隧道 模式 ,如 图 9. 41 所 示 。 
原始 数据 包 [HUP 数据 
传输 模式 [su] an [ Ese 数据 
隧道 模式 [ ix | AH [ ese [gurk 数据 


9.41. 传输 模式 和 隧道 模式 


传输 模式 通常 在 两 个 主机 之 间 的 VPN 上 使 用 ,使 用 原始 明文 IP 头 , 仅 对 数据 进行 加 
密 , 当 然 也 包括 它 的 TCP 和 UDP 头 。 

隧道 模式 通常 在 安全 网 关 之 间 使 用 。 隧 道 模式 处 理 整个 IP 数据 包 , 包 括 全 部 TCP 或 
UDP 数据 , 它 用 自己 的 地 址 作为 源 地 址 加 入 到 新 的 IP 头 中 。 

在 传输 模式 中 ,AH 被 插入 在 IP 头 之 后 ,在 上 层 协议 (如 TCP,UDP,ICMP 等 ) 之 前 ,或 
在 任意 已 经 插入 的 IPSec 头 之 前 。 

在 隧道 模式 中 ,AH 保护 整个 内 IP 包 ,包括 整个 内 IP k. 

认证 数据 由 MD5 和 SHA-1 算法 生成 ,用 来 保证 数据 完整 性 。 
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2. 封装 安全 净 荷 (ESP) 


封装 安全 净 荷 (Encapsulating Security Payload,ESP) 用 于 提供 混合 安全 服务 ,ESP 为 
IP 数据 包 提 供 的 安全 服务 有 机 密 性 保护 、 数 据 源 认证 完整 性 保护 和 防 重 放 保护 。 此 外 ， 
ESP 的 隧道 模式 还 支持 对 报 文 路 径 信息 的 隐藏 。 

ESP 可 以 单独 使 用 ,也 可 以 与 AH 组 合 使 用 ,或 者 以 嵌 套 的 方式 在 隧道 模式 中 使 用 。 

与 AH 类似,ESP 的 安全 服务 可 以 在 一 对 正在 通信 的 主机 之 间 提 供 , 可 以 在 正在 通信 
的 安全 网 关 之 间 提 供 , 或 者 可 以 在 主机 与 安全 网 关 之 间 提 供 。 

ESP 包 由 安全 参数 索引 (CSPI) .序列 号 .数据 (可 变 )、 填 充 (0 一 255 字 节 )、 填 充 长 度 、 下 
一 头 和 认证 数据 (可 变 ) 共 7 个 域 组 成 ,如 图 9. 42 所 示 。 


安全 参数 索引 (SPI) 
序列 号 
数据 (可 变 ) 
填充 (0 一 255 字 节 ) | 填充 长 度 | 下 一 头 
认证 数据 (可 变 ) 


图 9.42 封装 安全 净 荷 包 格式 


在 这 些 域 中 ,填充 域 和 认证 数据 域 是 可 选 的 ,其 他 的 域 都 是 必 选 的 ,可 选 域 是 否 选 取 由 
SA 指定 。 

在 传输 模式 下 ,ESP 被 插入 在 IP 头 之 后 ,在 上 层 协议 (如 TCP, UDP, ICMP 等 ) 之 前 ， 
或 在 已 经 插入 的 IPSec 头 之 前 。 

在 隧道 模式 下 ESP 的 位 置 , 相 对 于 外 IP 头 与 在 传输 模式 中 ESP 的 位 置 一 样 。 

加 密 算法 也 由 SA 指定 ,可 使 用 对 称 加 密 算法 加 密 。 

ESP 必须 实现 的 算法 包括 CBC 模式 的 AES JH MD5 的 HMAC 和 用 SHA-1 的 HMAC, 

dé 9. 3 概括 并 比较 了 AH 和 ESP 在 两 种 模式 下 的 功能 。 表 9.4 概括 并 比较 了 AH 和 
ESP 的 安全 服务 。 


表 9.3 传输 模式 与 隧道 模式 中 AH 和 ESP 功能 的 比较 


认证 服务 方式 传输 模式 SA 隧道 模式 SA 
AH 认证 IP 数据 和 IP 头 中 的 一 部 分 “认证 整个 内 部 IP 包 和 部 分 外 部 IP 包头 部 分 
不 带 认 证 的 ESP 加 密 IP 数据 加 密 内 部 IP GL 
带 认 证 的 ESP 加 密 IP 数据 .认证 IP 数据 加 密 内 部 卫 包 .认证 内 部 IP 2 


表 9.4 AHM ES 的 安全 服务 


安全 服务 AH 不 带 认 证 的 ESP 带 认证 的 ESP 
访问 控制 v v v 
完整 性 v v 
数据 源 认证 v v 
防 重 放 保护 v v a 
保密 性 v v 
有 限 通信 业务 流 保密 性 v v 
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防 重 放 保护 是 AH 和 ESP 都 提供 的 安全 服务 ,下 面 对 防 重 放 保护 的 原理 进行 说 明 。 

这 里 的 重 放 攻 击 是 指 攻击 者 在 得 到 一 个 已 经 认证 过 的 包 后 ,反复 将 其 传送 到 目的 站 点 
的 行为 。 当 重复 接收 经 认证 的 包 发 生 时 ,没有 采取 针对 性 措施 的 应 用 程序 将 可 能 出 现 异常 ， 
导致 服务 中 断 或 其 他 不 可 预料 的 后 果 。 

AH 和 ESP 的 序列 号 域 的 使 用 可 防止 这 种 重 放 攻 击 。 

当 一 个 新 的 SA 建立 时 ,发 送 方 将 序列 号 初始 值 置 0, 每 次 在 SA 上 发 送 一 个 包 时 ,计数 
器 就 会 加 1 并 将 新 值 填 入 序列 号 域 。 如 果 不 考 虑 防 重 放 需求 ,序列 号 可 以 循环 使 用 , 即 当 序 
列 号 达到 2” 后 ,重新 置 0, 周 而 复 始 。 

为 了 实现 防 重 放 ,SA 放弃 循环 计数 机 制 , 即 当 序列 号 达到 2” 一 1 时 ,SA 终止 ,后 续 的 
通信 将 在 新 的 SA 上 进行 。 

VPN 一 个 很 重要 的 优势 在 于 对 网 络 层 的 透明 性 。 


9.4 安全 套 接 层 


VPN 从 二 层 或 三 层 解决 了 安全 传输 的 问题 ,有 了 VPN ,公司 的 各 个 分 支 机 构 就 可 以 跨 
地 域 地 连接 起 来 了 。 不 过 ,无 论 如 何 VPN 的 维护 是 需要 较 大 开销 的 ,尤其 是 在 隧道 模式 
下 。 接 下 来 要 介绍 的 安全 套 接 层 (Secure Socket Layer. SSLO ,相对 来 说 是 一 种 更 容易 实施 
的 安全 传输 方案 。 


9.4.1 SSL 的 体系 结构 


SSL 最 早 是 由 Netscape 公司 开发 出 来 的 ,后 来 逐渐 形成 事实 上 的 业内 标准 。 

尽管 SSL 也 是 一 种 提供 安全 服务 的 手段 ,但 SSL 还 是 与 前 面 介绍 的 VPN 有 本 质 的 差 
别 , 这 是 因为 SSL 提供 的 是 在 TCP 上 的 安全 服务 。 

SSL 协议 可 用 于 保护 正常 运行 于 TCP 之 上 的 任何 应 用 ,如 HTTP、FTP、SMTP 或 
Telnet 的 通信 ,最 常见 的 是 用 SSL 来 保护 HTTP 的 通信 。 

SSL 由 两 层 结 构 一 一 处 于 相对 底层 的 SSL 记录 协议 与 处 于 相对 高 层 的 SSL 握手 协议 、 
修改 密码 协议 和 报警 协议 组 成 ,如 图 9. 43 所 示 。 


应 用 层 HTTP FTP Telnet 其 他 应 用 

握手 层 握手 修改 密码 报警 
SSL 

记录 层 记录 

传输 层 TCP/IP 


图 9.43 SSL 的 层次 


SSL 提供 的 面向 连接 的 安全 性 具有 以 下 3 个 基本 性 质 : 
COD 数据 是 加 密 的 : 在 初始 握手 确定 密 钥 后 ,用 对 称 加 密 算法 加 密 数据 。 
(2) 实体 的 身份 能 够 用 证 书 或 公 钥 进行 认证 。 
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(3) 连接 是 可 靠 的 : 消息 的 可 靠 传输 通过 安全 Hash 函数 及 MAC 来 保证 。 

SSL 会 话 是 状态 化 的 ,存在 连接 状态 和 会 话 状 态 。 所 有 的 记录 都 是 在 会 话 状态 下 进行 
处 理 , 连 接 状 态 的 安全 参数 由 SSL 握手 协议 设置 。 握 手 协议 能 够 有 选择 地 将 连接 状态 转化 
为 会 话 状态 。 

SSL 会 话 状 态 记 录 以 下 元 素 。 

CD 会 话 标识 符 : 标识 会 话 状态 的 字 节 序列 。 

(2) 实体 证 书 : 实体 的 X. 509 证 书 , 也 可 设 为 空 。 

(3) 压缩 方法 : 加 密 前 压缩 数据 的 算法 。 

(4) 密码 说 明 : 指定 加 密 算法 和 MAC 算法 。 

O 主 密 钥 : 客户 端 与 服务 器 之 间 的 共享 秘密 (48B) 。 

(6) 可 恢复 标志 : 一 个 会 话 是 否 能 够 用 来 发 起 新 的 连接 的 标志 。 

SSL 连接 状态 包括 以 下 元 素 。 

CD 服务 器 与 客户 随机 数 : 客户 方 与 服务 器 方 提供 的 随机 数 。 

(2) 服务 器 写 MAC 密码 : 服务 器 写 数据 时 用 于 对 数据 进行 MAC 操作 的 密码 。 

(3) 客户 端 写 MAC 密码 : 客户 端 写 数据 时 用 于 对 数据 进行 MAC 操作 的 密码 。 

(4) 服务 器 写 密 钥 : 服务 器 加 密 数据 .客户 解密 数据 的 密 钥 。 

(5) 客户 端 写 密 钥 : 客户 端 加 密 数 据 、 服 务 器 解密 数据 的 密 钥 。 

(6) 初始 向 量 : 进行 CBC 模式 加 密 时 使 用 的 数据 。 

D 序列 号 : 每 个 连接 状态 都 包含 一 个 序列 号 ,并且 是 读 、 写 分 离 的 。 


9.4.2 记录 协议 


SSL 记录 协议 用 于 封装 上 层 协 议 。 从 高 层 接收 未 解释 的 任意 长 度 的 非 空 数据 块 ,负责 
对 其 进行 分 段 、 压 缩 、 解 压缩 、 净 荷 保护 处 理 。 

CD 分 段 。 为 了 便于 处 理 , 需 要 将 上 层 数据 分 成 若干 个 段 ,每 个 段 小 于 或 等 于 2*B。 

(2) 压缩 。 为 了 减少 网 络 带宽 的 消耗 ,每 段 数 据 都 将 被 压缩 。 为 了 将 来 能 够 完全 恢复 
出 来 ,压缩 算法 必须 采用 无 损 压 缩 算法 。 压 缩 是 可 选 的 过 程 ,但 是 如 果 选 择 压 缩 , 当 压缩 效 
果 不 好 时 ,应 避免 压缩 后 增加 的 长 度 少 于 1024B( 注 意 : 并 不 是 在 所 有 情况 下 ,压缩 都 会 使 
数据 被 压缩 后 长 度 变 短 ) 。 

(3) 增加 MAC。 接 下 来 需要 对 压缩 后 的 数据 计算 MAC,MAC 被 添加 在 压缩 数据 
之 后 。 

(4) 加 密 。 对 压缩 数据 连同 MAC. 使 用 对 称 加 密 算法 进行 加 密 , 加 密 造 成 长 度 的 增加 
也 应 该 少 于 1024B。 

可 选 的 加 密 算法 有 IDEA、RC4-128 .DES、3DES 等 。 

(5) 添加 SSL 记录 头 。SSL 协议 的 最 后 一 步 是 在 加 密 数 据 前 添加 SSL 头 。 

SSL 头 由 以 下 部 分 组 成 : 

(D 内 容 类 型 ,封装 的 高 层 协议 类 型 ,8 位 。 

© 主 版 本 ,SSL 的 主 版 本 ,如 3(SSL3.0),8 位 。 
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© 次 版 本 ,SSL 的 次 版 本 ,如 0(SSL3.0),8 位 。 
@ 压缩 长 度 , 压 缩 数据 的 字 节 长 度 ,16 位 。 


9.4.3 ”修改 密码 协议 和 报警 协议 


修改 密码 协议 仅 包含 一 条 消息 ,该 消息 由 一 个 值 为 1 的 字 节 构成 。 

修改 密码 协议 说 明 消息 可 由 客户 端 或 服务 器 发 送 ,通知 接收 方 后 面 的 记录 将 由 新 协商 
的 密码 提供 保护 。 发 送 方 发 送 此 消息 后 ,立即 要 求 记录 层 把 即将 写 状态 变 成 当前 写 状态 ; 
接收 方 收 到 此 消息 后 ,立即 要 求 记录 层 把 即将 读 状态 变 成 当前 读 状 态 。 

报警 协议 传达 消息 的 严重 性 并 描述 报警 ,致命 错误 的 报警 信息 可 能 导致 连接 立即 终止 。 
与 其 他 消息 一 样 ,报警 消息 同样 被 加 密 和 压缩 。 

致命 错误 的 报警 消息 包括 以 下 内 容 。 

(1) MAC 记录 错误 消息 : 接收 到 的 MAC 非法 。 

(2) 握手 失败 消息 。 

(3) 解压 失败 消息 : 压缩 数据 不 正确 导致 解压 不 能 成 功 。 

其 他 的 报警 消息 还 包括 以 下 内 容 。 

(1) 结束 通知 消息 : 发 送 者 通知 接收 者 不 再 用 此 连接 发 送 任何 消息 。 

(2) 不 支持 的 证 书 消息 。 

(3) 证 书 期 满 消息 。 

(4) 证 书 撤销 消息 。 

(5) 未 知 证 书 消息 。 

报警 协议 由 两 个 字 节 组 成 : 第 一 个 字 节 描述 报警 级 别 ,1 表示 警告 ,2 表示 致命 错误 ; 
第 二 个 字 节 包 含 描述 特定 报警 消息 的 代码 。 


9.4.4 握手 协议 


SSL 握手 协议 允许 客户 端 与 服务 器 为 记录 层 取得 一 致 的 安全 参数 ,进行 相互 认证 、 协 
商 安全 参数 和 报警 约定 。 

SSL 握手 协议 在 SSL 记录 层 上 面 执行 操作 ,产生 会 话 状 态 所 需 的 密码 参数 。 当 SSL 客 
户 和 服务 器 要 开始 通信 时 ,他 们 确认 协议 版 本 ,选择 密码 算法 ,相互 认证 (可 选 ), 并 利用 公 钥 
密码 体制 产生 会 话 密 钥 。 

图 9. 44 描述 了 握手 过 程 , 握 手 过 程 包括 客户 端 和 服务 器 之 间 交 换 一 系列 的 消息 。 每 个 
消息 包含 3 个 消息 域 ,分 别 是 消息 类 型 .长 度 和 内 容 。 

CD 消息 类 型 。 握 手 协议 的 消息 类 型 包括 Hello Request, Client Hello, Server Hello, 
Certifcate, Server Key Exchange, Certificate Request, Server Done, Certificate Verify, 
Client Key Exchange, Finished. hi 1 个 字 节 。 

(2) 长 度 。 消 息 的 长 度 以 字 节 为 单位 , 占 3 个 字 节 。 

(3) 内 容 。 

以 Client Hello 消息 为 例 , 消 息 相 关 参 数 如 下 。 
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CD 版 本 : 客户 支持 的 最 高 SSL 版 本 。 

(2) 随机 数 : 此 随机 数 用 于 在 密 钥 交 换 中 防止 重 放 攻 击 。 

(3) 会 话 标识 : dE 0 表示 希望 更 新 连接 的 参数 ; 0 表示 希望 创建 一 个 新 连接 。 

(4) 密码 组 : 客户 端 支 持 的 密码 算法 列表 。 

(5) 压缩 算法 : 客户 端 支持 的 压缩 算法 列表 。 

SSL 握手 协议 包括 下 列 步 又: 

(1) 交换 Hello 消息 ,以 确认 算法 ,交换 随机 值 并 为 重 开会 话 进行 检测 。 

(2) 交换 必要 的 密码 参数 ,使 客户 端 与 服务 器 能 确认 预 主 密 钥 。 

(3) 交换 证 书 和 密码 信息 ,使 客户 端 和 服务 器 相互 认证 。 

(4) 从 交换 的 随机 值 计 算出 密 钥 。 

(5) 向 记录 层 提供 安全 参数 。 

(6) 允许 客户 端 和 服务 器 验证 他 们 的 对 等 实体 ,确认 握手 是 在 没有 攻击 者 算 改 的 情况 
下 发 生 。 

在 实际 应 用 中 ,SSL 协议 的 运算 需要 消耗 大 量 资源 ,为 此 一 些 厂 家 通过 硬件 实现 SSL 
协议 ,这 样 可 大 大 提高 SSL 的 效率 , 称 为 "SSL 加 速 器 ”。 

严格 地 说 ,SSL 并 非 互联 网 上 的 开放 标准 ,因为 其 中 涉及 不 少 专利 技术 。 于 是 ,IETF 
组 织 开 发 了 TLS, 用 来 蔡 代 SSL, 不 过 TLS 与 SSL 非常 相似 。 当 然 ,TLS 与 SSL 之 间 也 存 
在 一 些 不 同 之 处 ,如 TLS 主要 采用 非 专利 的 加 密 算 法 ,并 且 能 够 提供 更 全 面 的 报警 消息 。 

客户 端 服务 器 
Client Hello 


Client Hello 

Server Certificate 
[2— — Server Key Exchange 
Client Certificate Request 
Server Hello Done 


Client Certificate 
Client Key Exchange 
Certificate Verify — 
Change Cipher Spec 
Client Finished Message 


Change Cipher Spec 
Server Finished Message 


图 9.44 握手 过 程 


9.4.5 SSL 应 用 


SSL/TLS 通常 使 用 两 种 办 法 为 应 用 提供 安全 服务 ,一 种 是 仿照 SSL/TLS 协议 的 功 
能 ,对 应 用 协议 进行 升级 ,如 RFC2487 的 SMTP over TLS 协议 ; 另 一 种 是 为 实施 SSL/ 
TLS 保护 的 应 用 协议 重新 分 配 一 个 端口 ,对 应 用 层 的 透明 性 使 得 这 种 方式 应 用 更 为 广泛 。 

K 9.5 给 出 了 基于 SSL/TLS 的 一 些 应 用 协议 端口 分 配 情 况 , 其 中 的 端口 号 都 是 由 
IANA 规定 的 。 
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表 9.5 基于 SSL( 或 TLS) 的 应 用 协议 端口 


服务 名 端口 号 描 xk 
NSIIOPS 261/TCP SSL( 或 TLS) E ff] HOP 名 字 服 务 
HTTPS 443/TCP SSL( 或 TLS) 上 的 HTTP 协议 
SMTPS 465/TCP SSL( 或 TLS) 上 的 SMTP 协议 
NNTPS 563/TCP SSL( 或 TLS) 上 的 NNTP 协议 
SSHELL 614/TCP SSL 上 的 SHELL 
LDAPS 636/TCP SSL( 或 TLS) 上 的 LDAP 协议 
FTPS-DATA 989/TCP SSL( 或 TLS) 上 的 FTP 协议 和 数据 
FTPS 990/TCP SSL( 或 TLS) 上 的 FTP 控制 
Telnets 992/TCP SSL( 或 TLS) 上 的 Telnet 协 议 
IMAPS 993/TCP SSL( 或 TLS) 上 的 IMAP4 协议 
IRCS 994/TCP SSL( 或 TLS) 上 的 IRC 协议 
POP3S 995/TCP SSL( 或 TLS) 上 的 POP3 协议 


例 9.4 Windows 系统 中 的 Outlook Express 和 Internet Explorer 都 可 以 设置 成 为 
SSL 的 客户 端 。 图 9.45 是 Outlook Express 的 SSL 设置 ,图 9. 46 是 Internet Explorer 的 
SSL 设置 。 


O 检查 服务 器 证 书 吊销 (需要 重启 动 ) 

O 检查 下 载 的 程序 的 签名 

回 启动 配置 文件 助理 

O 启用 集成 Windows 身份 验证 (需要 重启 动 ) 
回合 用 ssL20 

El 使 用 ssL 3.0 

O 88510 


O &s isse 8567 [B PHAR ti 
El Eur bap 
从 地 址 栏 中 搜索 


Q 搜索 时 
Q 不 从 地 址 栏 中 搜索 
O 显示 结果 ， 败 后 灶 到 最 相近 的 站 点 
O 只 在 主 窗口 中 显示 结果 
日 | 最 相 诉 的 站 点 


9.45 it Outlook Express 中 配置 SSL 属性 图 9.46 在 Internet Explorer 中 配置 SSL 属性 


9.5 安全 电子 交易 


通过 引入 SSL 可 以 帮助 一 些 应 用 实现 安全 通信 ,如 基于 SSL 的 HTTP.SMTP,FTP 
等 。 但 是 应 用 的 种 类 复杂 多 样 , 仅 仅 依靠 SSL 并 不 能 完全 满足 应 用 层 安全 的 需要 。 例 如 ， 
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如 何在 不 保证 安全 的 网 络 上 实现 安全 的 电子 商务 就 是 一 个 复杂 的 课题 。 安 全 电子 交易 协议 
是 目前 公认 的 较 好 的 电子 商务 解决 方案 。 


9.5.1 SET 协议 


安全 电子 交易 (Security Electronic Transaction, SET) 是 一 种 开放 的 安全 协议 和 标准 ， 
用 于 在 互联 网 上 实现 安全 的 交易 活动 。 

SET 最 初 是 由 Visa 和 MasterCard 合作 开发 完成 的 ,参与 该 规范 设计 的 公司 还 包括 
IBM, Microsoft, Netscape, VeriSign 等 。 

SET 是 以 信用 卡 支付 为 基础 的 网 上 电子 支付 系统 规范 ,通常 SET 包括 以 下 一 些 参与 
者 ,其 示意 图 ,如 图 9. 47 Bros o 

OD 持 卡 人 (Cardholder)。 持 卡 人 持 有 发 卡 机 构 发 行 的 .经 过 授权 的 支付 卡 ,如 
MasterCard 和 Visa 卡 。 在 互联 网 中 , 持 卡 人 与 商家 通过 电子 交易 的 方式 实现 购买 和 支付 

(2) 商家 (Merchant) 。 商 家 为 持 卡 人 提供 丰富 的 商品 ,提供 商品 的 方式 主要 是 Web 网 站 
或 E-mail 方式。 商家 在 商家 银行 里 设立 了 账号 ,用 来 与 支付 卡 的 发 卡 机 构 进行 划 账 交易 。 

G) 发 卡 机 构 (Issue)。 发 卡 机 构 通常 是 为 持 卡 人 提供 支付 卡 的 金融 机 构 ,如 银行 , 持 卡 
人 可 直接 到 发 卡 银行 办 理 支 付 卡 。 当 持 卡 人 在 商家 处 有 购买 行为 时 ,发 卡 机 构 向 商家 银行 
划 账 。 

(4) 商家 银行 (Acquirer) 。 商 家 银行 是 指 为 商家 建立 账户 的 金融 机 构 , 用 来 接收 支付 
卡 的 付款 。 商 家 银行 还 可 以 向 商家 提供 一 定 的 认证 机 制 , 确 保持 卡 人 的 卡 具有 合法 性 并 且 
卡 上 余额 足以 支付 商品 。 当 持 卡 人 的 资金 划 到 商家 银行 后 ,商家 银行 还 向 商家 提供 已 支付 
的 凭证 。 

(5) 认证 中 心 (CA 机 构 )。SET 协议 中 ,需要 认证 中 心 提供 相互 间 实 体 的 认证 。 认 证 
中 心 为 持 卡 人 、 商 家 ,发 卡 机 构 、 商 家 银行 提供 证 书 。 


发 下 机构 信用 让 认证 


(加 密 、 数 字 签名 ) 
定单 、 付 款 指令 


9.47 SET 协议 示意 图 


在 持 卡 交易 中 , 持 卡 人 ,银行 .商家 之 间 存 在 以 下 的 商业 安全 需求 

(1) 提供 付款 和 订购 的 保密 性 。 持 卡 人 在 商家 订购 商品 的 信息 可 能 被 第 三 方 恶意 利 
用 ,而 且 持 卡 人 的 账户 信息 也 不 希望 被 商家 知道 ,因此 需要 提供 付款 和 订购 的 保密 性 。 

(2) 为 持 卡 人 的 合法 性 提供 认证 。 对 持 卡 人 的 合法 性 通过 证 书 和 数字 签名 进行 认证 ， 
可 以 防止 第 三 方 假冒 持 卡 人 的 名 义 从 商家 订购 商品 。 

(3) 为 商家 的 合法 性 提供 认证 。 持 卡 人 需要 识别 为 他 们 提供 商品 的 商家 是 否 合法 ,或 
许 非法 商家 只 是 希望 骗取 持 卡 人 的 卡号 和 密码 。 对 商家 合法 性 的 认证 也 是 主要 通过 数字 签 


216 计算 机 安全 与 保密 


名 和 证 书 完 

(4) 安全 交易 不 依赖 于 安全 传输 机 制 。 虽 然 IPSec 和 SSL 的 使 用 有 助 于 保证 交易 安全 
和 防止 攻击 者 的 人 侵 ,但 是 仍然 希望 建立 的 SET 协议 能 够 提供 在 非 安全 通道 上 进行 安全 交 
易 的 机 制 。 毕 竟 ,大 多 数 情况 下 ,电子 交易 是 通过 Internet 进行 的 。 

此 外 ,其 他 的 商业 安全 需求 还 包括 数据 的 完整 性 .不 可 抵赖 性 等 。 

完整 的 SET 协议 涉及 以 下 几 方面 内 容 : 

CD 加 密 算 法 ; 

(2) 证 书信 息 及 格式 ; 

(3) 购买 信息 及 格式 ; 

(4) 认可 信息 及 格式 ; 

G) 划 账 信息 及 格式 ; 

(6) 实体 之 间 消 息 的 传输 协议 。 

下 面 对 SET 协议 下 的 工作 流程 进行 一 个 简单 的 描述 。 

OD 持 卡 人 开户 。 持 卡 人 在 一 个 支持 电子 支付 的 银行 (如 MasterCard 或 Visa) 开 立信 
用 卡 账户 ,获得 信用 卡 。 

(2) 持 卡 人 获得 证 书 。 持 卡 人 收 到 来 自 银行 签发 的 数字 证 书 , 证 书 中 给 定 了 持 卡 人 的 
RSA 公 钥 和 有 效 期 限 。 

G) 商家 获得 证 书 。 接 受 电 子 支付 的 商家 必须 拥有 两 种 公 角 证书, 一 种 用 于 签名 消息 ; 
另 一 种 用 于 密 钥 交换 。 

(4) 持 卡 人 订购 商品 。 持 卡 人 在 商家 的 Web 页 面 上 查看 商品 目录 ,选择 所 需 商 品 。 当 
持 卡 人 订购 商品 时 ,向 商家 发 送 订购 请 求 ,商家 发 回 一 个 带 有 商品 号 .单价 .总 价 、 订 购 号 的 
订购 单 。 

(5) 持 卡 人 对 商家 进行 认证 。 商 家 在 向 持 卡 人 发 送 订购 单 的 同时 ,还 发 给 持 卡 人 一 份 
商家 的 证 书 , 持 卡 人 通过 证 书 验 证 正在 进行 交易 的 商家 是 否 合法 。 

(6) 持 卡 人 向 商家 发 送 订购 和 付款 信息 。 持 卡 人 将 订购 和 支付 信息 以 及 持 卡 人 的 证 书 
发 送 给 商家 。 订 购 信 息 中 确认 了 订购 单 中 要 购买 商品 的 数量 ,用 于 商家 组 织 送 货 。 但 是 , 支 
付 信息 中 的 信用 卡 细节 ,商家 无 法 获得 。 商 家 也 可 以 通过 持 卡 人 证 书 来 验证 持 卡 人 的 身份 
是 否 合法 。 

(7) 商家 请 求 付款 认证 。 商 家 向 商家 银行 提出 付款 认证 申请 ,希望 商家 银行 验证 持 卡 
人 信用 卡 是 否 合法 以 及 信用 卡 的 信用 额度 或 余额 是 否 足 以 支付 这 些 商 品 。 

(8) 商家 确认 订购 。 商 家 确认 订购 关系 ,并 按 持 卡 人 指定 的 送 货 信息 将 商品 发 送 给 客 
户 。 客 户 可 以 是 持 卡 人 ,也 可 以 是 持 卡 人 指定 的 其 他 收 货 

(9) 商家 请 求 付款 。 商 家 向 商家 银行 请 求 支 付 货款 ,商家 银行 负责 处 理 后 续 的 与 发 卡 
银行 之 间 的 账 务 关 系 。 

可 以 看 到 ,SET 协议 下 的 电子 交易 流程 与 实际 购物 流程 非常 接近 ,只 不 过 所 有 交易 是 
在 互联 网 上 进行 。 


9.5.2 数字 信封 和 双重 签名 
在 SET 的 交易 过 程 中 ,数字 信封 和 双重 签名 是 保障 交易 安全 的 重要 手段 。 数 字 信封 的 
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技术 前 面 已 经 介绍 过 ,下 面 主要 介绍 双重 签名 技术 的 原理 。 

持 卡 人 向 商户 提交 订购 信息 的 同时 ,也 给 银行 提交 付款 信息 ,但 有 两 个 安全 要 求 

CO 持 卡 人 不 希望 商户 知道 自己 的 账户 信息 。 

(2) 持 卡 人 不 希望 开户 行 知道 自己 的 消费 内 容 。 

要 解决 这 个 问题 ,需要 引入 双重 签名 技术 。 

在 SET 交易 中 ,用 CCCustomer) Xe FF A MCMerchant) 表示 商家 , B(Bank) 表 示 
银行 。 

如 图 9. 48 所 示 ,双重 签名 的 过 程 如 下 : 

d) C 产生 发 往 M 的 订购 信息 OI 和 发 往 B 的 支付 指令 PI 

(2) 对 OI 和 PI 做 数字 摘要 ,分 别 得 到 HODA HCPD ,数字 摘要 的 作用 是 防止 消息 在 
(pii go ai s 

(3) 连接 HCOD fl HCPD f] PO; 

(4) 再 对 PO 做 数字 摘要 HPO); 

G) 用 C 的 私 钥 签 名 H(PO) ,得 到 Sig(H(PO)), 称 为 双重 签名 ; 

(6) C 将 消息 {OI,H(PD ,Sig(H(PO))}) 发 给 M, 将 {PI, HCOD ,Sig (H(PO))}) 发 给 B, 


1L 生成 摘要 LCD. 


M: 生成 |H(PO) E Sig(H(PO)) 
连接 摘要 -| 数字 签名 - 


—Q9 -| ges OLI 


9.48 双重 签名 的 生成 过 程 


双重 签名 的 验证 过 程 如 图 9. 49 Bron : 

CD M 接收 到 {OI,H(PD ,SigCHCPO))} 后 ,通过 做 信息 摘要 生成 HOD; 
(2) B 接收 到 {PI,HCOD ,Sig (H(PO))} 后 ,通过 做 信息 摘要 生成 HOED; 
G) M 将 H(OD 与 H(PD 连 接 并 产生 摘要 HPO); 

(4) BH H(PD 与 H(OD 连 接 并 产生 摘要 HPO); 

G) M 验证 Sig(H(PO)) 是 否 为 H(PO) 的 签名 ; 

(6) B 验证 Sig(H(PO)) 是 否 为 H(PO) 的 签名 。 


m H(PO) 
oue [ ^j H(OD/H(PI 连接 


摘要 然后 


验证 | 成 功 则 接受 
=| 生成 
H(OD/H(PI) | 摘要 


签名 | 失败 则 拒绝 


9.49 双重 签名 验证 过 程 


9.6 J 题 


1. 简 述 PPTP 5j L2TP 之 间 的 异同 点 。 
2. 什么 是 CA? CA 有 哪些 作用 ? 
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3. 简 述 PPP 协议 的 工作 原理 。 
4. 在 电子 交易 中 ,如 果 持 卡 人 不 希望 商户 知道 自己 的 账号 信息 , 且 不 希望 开户 行 知道 


自己 的 消费 内 容 , 如 何 做 到 ? 


5. 与 UNIX 口令 保护 的 相关 的 文件 有 和 

6. UNIX 口令 文件 中 的 Salt 值 占 位 ,可 转换 成 个 ASCII 字符 。 

7. Windows 系统 的 口令 保护 采用 或 算法 。 

8. PGP 在 加 密 前 先 要 ,这 样 做 节省 了 网 络 传输 的 时 间 和 存储 空间 。 

9. 由 于 许多 电子 邮件 系统 只 允许 使 用 ASCII 码 的 正文 ,所 以 PGP 提供 了 转换 方案 ,将 
原始 二 进 制 流转 化 为 A 

10. PGP 信任 模型 中 有 两 种 信任 : 和 

11. 是 计算 机 网 络 安全 中 的 一 个 重要 技术 ,通过 多 种 安全 机 制 提供 了 链 路 层 
和 网 络 层 上 的 安全 服务 。 

12. 根据 建立 VPN 的 目的 可 以 将 VPN 分 为 和 3 类。 

13. 在 以 太 网 上 运行 的 PPP 协议 , 称 为 

14. L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ,系统 开销 仅 占 用 个 字 节 ,而 
PPTP 协议 必须 占用 个 字 节 。 

15. IKE 协商 分 为 和 两 个 阶段 。 

16. IPSec 协议 主要 由 协议 、 协议 两 个 协议 组 成 。 

17. IPSec 有 和 两 种 工作 模式 。 

18. SSL 修改 密码 协议 仅 包 含 一 条 消息 ,该 消息 由 一 个 值 为 的 字 节 构 成 。 


19. 是 以 信用 卡 支付 为 基础 的 网 上 电子 支付 系统 规范 。 
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在 编写 密码 学 与 信息 安全 的 相关 程序 时 ,可 选择 多 种 语言 ,如 C++、Java、PHP 等 。 本 
章 主要 介绍 基于 Java 平台 的 密码 学 与 安全 编程 。 

Java 的 安全 性 一 直 是 Java 语言 发 展 中 的 一 个 主要 设计 目标 。 经 过 不 断 地 发 展 ,目前 已 
形成 一 整套 的 Java 解决 方案 ,包括 Java 加 密 体系 结构 (Java Cryptography Architecture. 
JCA) „Java 加密 扩 展 (Java Cryptography Extension. JCE) , Java 认证 与 安全 服务 (Java 
Authentication And Authorization Service, JAAS), Java 安全 套 接 字 扩展 (Java Secure 
Socket Extension ,JSSE) 等 。 

其 中 ,JCA 提供 基本 的 加 密 解 密 框 架 ,如 证 书 、 数 字 签 名 ` 消 息 摘 要 和 密 钥 工 厂 。 

JCE fr JCA 的 基础 上 做 了 扩展 ,提供 各 类 加 密 、 消 息 摘要 和 消息 验证 码 等 算法 , 如 
DES, AES, RSA,DSA, 

JSSE 提供 基于 SSL 的 安全 通信 功能 。 

JAAS 提供 用 户 身份 认证 的 功能 。 

结合 前 面 章节 讲 过 的 内 容 , 本 章 将 介绍 相关 的 编程 方法 与 实现 。 


10.1 JCA 


JCA 主要 为 Java 应 用 提供 基础 安全 服务 。 这 些 安全 服务 包括 数字 签名 ,消息 摘要 和 密 
钥 生 成 器 。 

JCA 的 框架 符合 以 下 的 设计 理念 : 

(1) 实现 的 独立 性 和 互 操作 性 ; 

(2) 算法 的 独立 性 和 可 扩展 性 。 

实现 的 独立 性 使 JCA 用 户 能 轻松 地 运用 密码 学 的 概念 进行 编程 ,而 不 必 关 心 这 些 概 念 
的 实现 。 

实现 的 独立 性 是 通过 “密码 服务 提供 者 "(Provider) 的 方式 实现 的 。 程 序 请 求 某 类 对 象 
(如 签名 对 象 ) 实 现 某 种 服务 (如 DSA 数字 签名 ) 时 ,可 通过 任 一 提供 者 获取 具体 实现 方法 。 
当 有 更 高 效 或 更 安全 的 版 本 可 用 时 ,提供 者 的 升级 对 应 用 程序 来 说 完全 是 透明 的 。 

实现 的 互 操作 性 意味 着 对 于 相同 的 算法 ,由 一 个 提供 者 生成 的 密 钥 可 被 另 一 个 提供 者 
使 用 ,而 一 个 提供 者 生成 的 签名 也 可 由 另 一 个 提供 者 来 验证 。 

算法 独立 性 是 通过 定义 密码 “引擎 ”类 来 实现 的 ,如 Message Digest 类 、Signature 类 和 
Key Factory 类。 

算法 的 可 扩展 性 是 指 可 以 为 Engine 类 添加 新 算法 。 

由 于 加 密 是 一 类 非常 重要 的 安全 功能 ,美国 曾经 对 加 密 技 术 的 出 口 进行 了 限制 ,继而 一 
度 影 响 到 JCA 的 功能 。JCA 框架 中 并 没有 定义 加 密 之 类 的 机 密 性 安全 服务 ,而 主要 实现 数 
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字 签 名 ,消息 摘要 等 完整 性 安全 服务 。 


103.1 


消息 摘要 


java. security 包 中 的 MessageDigest 类 提供 了 计算 消息 摘要 的 服务 ,具体 步骤 如 下 : 
(OD 生成 一 个 MessageDigest 25. 并 确定 Hash 算法 。 


java. security.MessageDigest alga = java. security. MessageDigest. getInstance("SHA— 1"); 


(2) 添加 要 进行 计算 摘要 的 消息 。 
alga. update(msgwithsign. getBytes()); 


(3) 计算 出 摘要 。 


byte[ ] digesta = alga.digest(); 


(4) 将 消息 和 摘要 发 送 给 接收 方 。 
(5) 接收 方 用 相同 的 方法 初始 化 ,添加 消息 ,然后 比较 摘要 是 否 相同 。 


algb. isEqual(digesta, algb. digest()); 


MessageDigest 支持 的 算法 包括 MD5,SH A-1,SHA-256 等 。 
下 面 给 出 完整 的 代码 : 


import java. security. * ; 


import javax. crypto. * ; 
public class TestSHA( 


/* 


* @author Ray 


*/ 


public TestSHA() throws Exception{} 
public static void main(String[] args) throws Exception ( 


} 


String messagel = "TestOfMessageDigest" ; 

System. out. println(" 消 息 : " + messagel); 

// 生 成 一 个 消息 摘要 类 ,定义 消息 摘要 算法 

java. security.MessageDigest mdl = java. security. MessageDigest. getInstance("SHA — 384") ; 
// 添 加 消息 

mdl.update(messagel.getBytes()); 

// 计 算 摘 要 

byte[ ] digesti = md1.digest(); 

System. out. println( "摘要: " + byte2hex(digestl)); 

// 接 收 方 用 相同 的 方法 初始 化 ,添加 消息 ,然后 比较 摘要 是 否 相同 

String message2 = "TestOfMessageDigest" ; 

java. security.MessageDigest md2 = java. security. MessageDigest. getInstance("SHA - 384"); 
md2. update(message2.getBytes()); 

System. out. println(" 验 证 结果 : " + nd2. isEqual (digesti, md2.digest())); 


// 将 bytel ] 型 转换 成 十 六 进 制 串 
public static String byte2hex(byte[] ba) { 


String strout= ""; 
for (int i=0;i<ba. length; i++){ 
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int j=ba[i] «O?ba[i] + 256:ba[i]; 

String str- Integer. toHexString(j); 

while (str.length()«2) str- '0' + str; 

if (i<ba. length- 1) strout + = (str * " - "); else strout* = str; 
) 
return strout. toUpperCase(); 


} 


由 于 消息 摘要 输出 的 是 byte 数组 类 型 ,不 便 输出 打印 ,程序 中 增加 了 一 个 格式 转换 函 
数 “byte2hex()”, 可 将 byte 数组 转换 成 十 六 进 制 串 。 

以 上 程序 运行 结果 如 下 : 

消息 : TestOfMessageDigest 

į Æ: ED-F7-11-D6-3E-B6-22-01-BF-A3-3E-FB-C2-57-80-BC-F5-45-A8-17-98-A0-15- 
24-EB-3F-91-4E-00-0B-6F-7F-E1-47-F8-57-47-70-FE-2B-58-F3-19-E4-0C-32-B1-B2 

验证 结果 : true 

本 例 中 由 于 使 用 的 消息 摘要 算法 是 SHA-384, 最 终 计算 出 的 消息 摘要 是 384 位 的 
数据 。 


10.1.2. 密 钥 生成 与 数字 签名 

数字 签名 一 般 采 用 公 钥 体制 ,java. security 包 中 的 KeyPairGenerator 类 提供 了 产生 密 
钥 对 的 方法 。 有 了 密 钥 对 后 java. security 包 中 Signature 类 则 提供 了 计算 数字 签名 的 方 
法 。 具 体 步骤 如 下 : 

(1) 生成 密 钥 对 。 

对 于 用 户 来 说 , 密 钥 对 的 生成 非常 重要 ,无 论 是 数字 签名 还 是 加 密 解 密 都 需要 用 到 密 钥 
对 。 密 钥 对 生成 后 ,应 分 别 保存 , 私 钥 通 常 存储 在 本 地 , 公 钥 则 可 提供 给 他 人 。 

密 钥 对 的 生成 通常 使 用 KeyPairGenerator 类 ,如 : 


java. security.KeyPairGenerator keygen= java. security.KeyPairGenerator.getInstance("DSA"); 
可 以 使 用 随机 参数 产生 器 设置 种 子 ,并 初始 化 参数 : 


SecureRandom secrand = new SecureRandon() ; 
secrand. setSeed(" xxxx" . getBytes( ) ) ; 
keygen. initialize(512, secrand); 


初始 化 是 可 选 的 : 
keygen. initialize(512); 
初始 化 后 就 可 以 生成 密 钥 对 了 , 密 钥 对 包括 公 钥 和 私 钥 : 


KeyPair keys = keygen. generateKeyPair(); 
PublicKey pubkey 7 keys. getPublic(); 
PrivateKey prikey = keys. getPrivate(); 


通常 , 密 钥 需要 通过 文件 的 形式 保存 起 来 ,以 便 将 来 再 使 用 : 
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out = new java. io. ObjectOutputStream(new java. io. FileOutputStream("pubkey. dat")) ; 
out. writeObject(pubkey) ; 


(2) 数字 签名 需要 用 到 私 钥 ,可 从 私 钥 文件 中 读 和 人 私 钥 ， 


java. io. ObjectInputStream in = new java. io. ObjectInputStream(new java. io. FileInputStream 
("prikey. dat")); 
PrivateKey prikey = (PrivateKey)in.readObject(); 


签名 时 , 先 初 始 化 一 个 Signature 对 象 ,然后 用 私 钥 对 消息 签名 : 


java. security. Signature signl- java. security.Signature.getInstance("DSA"); 
signl.initSign(prikey); 

signl.update(msgwithsign.getBytes()); 

byte[ ] signofmsg = signl.sign(); 


可 以 把 消息 和 签名 保存 在 同一 个 文件 中 : 


java. io. ObjectOutputStream out = new java. io. ObjectOutputStream(new java.io. FileOutputStream 
("nsgwithsign.dat")); 

out. writeObject(msgwithsign); 

out. writeObject(signofmsg); 


消息 和 摘要 也 可 以 分 别 存放 在 两 个 文件 中 保存 或 发 送 。 

D 接收 方 收 到 发 送 方 发 来 的 消息 和 摘要 ,并 通过 某 种 方式 得 到 发 送 方 的 公 钥 。 接 下 
来 便 可 以 用 公 钥 对 消息 和 签名 进行 验证 。 

首先 从 文件 中 重建 公 钥 s 


java. io. ObjectInputStream in = new java. io. ObjectInputStream (newjava. io. FileInputStream 
("pubkey. dat")) ; 
PublicKey pubkey = (PublicKey) in. readObject() ; 


然后 读 和 消息 和 签名 : 


in = new java. io. ObjectInputStream(new java. io. FileInputStream("msgwithsign. dat")); 
String nsg - (String)in.readObject(); 
byte[ ] signofmsg = (byte[ ]) in. readObject() ; 


接 下 来 初始 一 个 Signature 对 象 ,并 用 公 钥 对 签名 进行 验证 : 


java. security.Signature sign2 = java.security.Signature.getInstance("DSA"); 
sign2. initVerify(pubkey); 

sign2.update(msg.getBytes()); 

if (sign2.verify(signofmsg))System. out. println("4t 4 fi 2") ; 


以 下 给 出 数字 签名 的 完整 代码 : 


import java.security. * ; 
import java. security. spec. * ; 
/x* 

* (author Ray 

*/ 

public class TestDSA ( 
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public static void main(String[] args) throws 
java. security. NoSuchAlgorithmException, java. lang. Exception { 
TestDSA my = new TestDSA() ; 
ny. run(); 
} 
public void run()( 
// 生 成 密 钥 对 : 如 果 已 经 生成 过 ,本 过 程 就 可 以 跳 过 
// 发 送 方 的 私 钥 文件 prikey. dat 要 保存 在 本 地 ,而 公 钥 文件 pubkey. dat 则 发 送 给 接收 方 
if ((new java. io. File("prikey.dat")).exists() = = false) ( 
if (generatekey() = - false) { 
System. out. println(" 生 成 密 钥 对 失败 "); 
return; 
} 
} 
// 发 送 方 从 文件 中 读 入 私 钥 , 对 消息 进行 签名 后 保存 在 一 个 文件 (msgwithsign. dat) 中 
// 然 后 再 把 msgwithsign. dat 发 送 给 接收 方 ， 
// 数 字 签名 可 以 放 进 msgwithsign. dat 文件 中 ,也 可 分 别 发 送 
try ( 
java. io. ObjectInputStream in = new java. io. ObjectInputStream(new 
java. io. FileInputStream("prikey. dat")); 
PrivateKey prikey = (PrivateKey) in. readObject() ; 
in.close(); 
String nsgwithsign = "TestOfDSA"; // 要 签名 的 信息 
// 用 私 钥 对 信息 生成 数字 签名 
java. security. Signature signl = java. security. Signature. getInstance("DSA"); 
signl.initSign(prikey); 
signl.update(msgwithsign.getBytes()); 
byte[ ] signofnsg- signl.sign(); // 对 信息 的 数字 签名 
System. out. println(" 数 字 签 名 : " + byte2hex(signofmsg)); 
// 此 处 把 信息 和 数字 签名 保存 在 一 个 文件 中 
java. io. ObjectOutputStream out = new java. io. ObjectOutputStream(new 
java. io. FileOutputStrean("msgwithsign. dat")); 
out. writeObject(msgwithsign); 
out. writeObject(signofmsg); 
out. close(); 
System. out. println(" 签 名 并 生成 文件 成 功 "); 
} catch (java. lang. Exception e) { 
e. printStackTrace(); 
System. out. println(" 签 名 时 发 生 错误 !"); 
} 
// 接 收 方 通过 某 种 方式 得 到 发 送 方 的 公 钥 和 签名 文件 ， 
// 然 后 用 公 钥 对 签名 进行 验证 
try ( 
java. io. ObjectInputStream in = new java. io. ObjectInputStream(new 
java. io. FileInputStream("pubkey. dat") ) ; 
PublicKey pubkey = (PublicKey)in. readObject() ; 
in.close(); 
in- new java. io. ObjectInputStream(new 
java. io. FileInputStream("msgwithsign.dat")); 
String msg - (String)in. readObject(); 
byte[] signofmsg- (byte[ ]) in. readObject() ; 


224 计算 机 安全 与 保密 


in.close(); 
java. security. Signature sign2 - java. security. Signature. getInstance("DSA"); 
sign2.initVerify(pubkey); 
sign2.update(nmsg. getBytes()) ; 
if (sign2.verify(signofnmsg)) { 
System. out. println(" ifj E 3E: " + msg); 
System. out. println(" & 4 23"); 
) else 
System. out. println(" 非 正常 签名 "); 
} catch (java. lang. Exception e) (e. printStackTrace();]; 
) 
// 生 成 密 钥 对 的 函数 
public boolean generatekey() { 
try{ 
java. security. KeyPairGenerator 
keygen = java. security. KeyPairGenerator.getInstance("DSA"); 
keygen. initialize(512); 
KeyPair keys = keygen. genKeyPair(); 
PublicKey pubkey = keys. getPublic(); 
PrivateKey prikey = keys.getPrivate(); 
java. io. ObjectOutputStream out - new java. io. ObjectOutputStream(new 
java. io. FileOutputStream("prikey.dat")); 
out. writeObject(prikey); 
out. close(); 
System. out. println("*j A XJ & prikeys ok"); 
out = new java. io. ObjectOutputStream(new 
java. io. FileOutputStrean("pubkey. dat")) ; 
out. writeObject(pubkey) ; 
out. close(); 
System. out. println(" 5j A Xf $& pubkeys ok"); 
System. out. println(" 生 成 密 钥 对 成 功 ") ; 
return true; 
) catch (java. lang. Exception e) ( 
e. printStackTrace(); 
System. out. println(" 生 成 密 钥 对 失败 ") ; 


return false; 


) 


函数 byte2hex() 与 前 面 的 例子 完全 相同 ,在 此 省 去 。 

运行 结果 如 下 : 

数字 签名 : 30-2D-02-15-00-8F-CD-CA-39-76-CB-85-99-F8-77-DB-6B-65-71-D2-E6-2D- 
AF-AF-59-02-14-32-4D-3E-D8-38-F8-58-BD-F6-DC-D4-0E-9 A-CF-21-CB-6C-99-B8-B3 

签名 并 生成 文件 成 功 

消息 内 容 : TestOfDSA 

签名 有 效 。 

在 以 上 实例 中 , 密 钥 的 保存 是 通过 对 象 流 的 方式 保存 和 传送 的 ,也 可 以 采用 相关 的 
标准 。 


to 
N 
e 
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公 钥 通常 采用 X. 509 标准 进行 编码 , 私 钥 则 一 般 采用 PKCS 8 编码 。 
使 用 X. 509 标准 的 公 钥 编码 和 重建 ,可 参考 以 下 代码 : 


byte[ ] encodedPubKey = pubkey. getEncoded( ); 
X509EncodedKeySpecpubKeySpec = new X509EncodedKeySpec( encodedPubKey) ; 
KeyFactory keyFactory = KeyFactory.getInstance("DSA"); 
PublicKeypubKey = keyFactory.generatePublic(pubKeySpec); 


使 用 PKCS £ 8 进行 私 钥 编码 和 重建 的 代码 ,可 参考 以 下 代码 : 


byte[ ]encodedPKCS8 = prikey. getEncoded( ) ; 
PKCS8EncodedKeySpec priPKCS8 = new PKCS8EncodedKeySpec(encodedPKCS8) ; 
KeyFactory keyFactory = KeyFactory. getInstance("DSA"); 

PrivateKey prikey = keyFactory.generatePrivate(priPKCS8); 


10.1.3 数字 证 书 


Java 中 提供 了 一 个 建立 和 管理 密 钥 库 及 数字 证 书 的 工具 , 即 keytool 工具 。 

keytool 工具 将 密 钥 库 实现 为 一 个 文件 ,并 通过 口令 来 保护 。 密 钥 库 中 可 存放 两 类 条 
目 ,一 类 条 目 是 私 钥 , 另 一 类 条 目 是 可 信任 的 证 书 。 私 钥 受 口令 保护 , 公 钥 不 受 口令 保护 。 

下 面 先 用 keytool 工具 创建 一 个 密 钥 库 

创建 密 钥 库 需 使 用 -genkey 选项 ,默认 状态 下 ,创建 者 需要 登记 姓名 、 组 织 单位 ,组 织 名 
称 ,城市 或 区 域名 称 等 信息 。 密 钥 库 的 口令 至 少 是 6 个 字符 。 

创建 密 钥 库 时 ,至 少 需要 存储 一 份 密 钥 ,默认 状态 下 是 mykey JH P (1 8 4 

mykey 的 口令 可 以 不 填 , 此 时 口令 与 密 钥 库 的 口令 一 致 。 创 建 
所 示 。 


图 10.1 密 钥 库 的 创建 
使 用 -list 参数 可 以 列 出 密 钥 库 中 存储 的 所 有 条 目 , 如 图 10. 2 所 示 。 


vateKeyEntry, 
:AE:DE:31:28:780:83:F9:3C:59:38:F8:2A:F6:5C:4A:F1:F3:E7:AE 


t 


D:\java\JavaSecurity) 


图 10.2 密 钥 库 中 的 条 目 显示 


通过 -keystore 参数 还 可 以 指定 具体 的 密 钥 库 的 名 称 。 从 图 10. 2 中 可 以 看 到 mykey 的 
条 目 类 型 是 PrivateKeyEntry, 表示 是 私 钥 条 目 , 而 ray20120220 的 条 目 类 型 是 
trustedCertEntry, 表 示 信 任 的 证 书 条 目 

对 于 mykey 这 类 私 钥 条 目 ,还 可 以 导出 对 应 的 证 书 , 如 图 10. 3 所 示 

导出 证 书 使 用 -export 选项 ,并 通过 -alias 指定 条 目的 名 称 , 通 过 -file 指定 导出 证 书 文 件 
的 文件 名 。 


alias mykey -file ray28128228.cer 


120228.cer» 中 的 证 书 


图 10.3 证 书 的 导出 
keytool 还 能 够 显示 证 书 文 件 内 容 的 功能 ,如 图 10.4 所 示 。 具 体 语句 是 : 


keytool- printcert ~ file ray20120220.cer 


keytool 工具 固然 方便 ,但 如 果 要 在 程序 中 实现 对 密 钥 库 和 数字 证 书 的 访问 , 则 需要 用 
到 java. security. cert 包 。 


接 下 来 的 程序 利用 java. security. cert 包 , 通 过 编程 的 方式 来 读 取证 书 的 详细 条 目 。 


import java. io. * ; 
import java. security. * ; 
import java. security.cert. * ; 
import java. util. * ; 


import java. math. * ; 


Do 
N 
- 


public class TestCerReadItem( 

/x 

* @author Ray 

x/ 

public static void main(String args[ ]) throws Exception( 
CertificateFactory certfac = CertificateFactory. get Instance("X. 509"); 
FileInputStream in- new FileInputStream("ray20120220.cer"); 
java. security. cert. Certificate cert = certfac. generateCertificate(in); 
in.close(); 
X509Certificate x509cert = (X509Certificate) cert; 


System. out. println(" 版 本 号 : " + x509cert. getVersion()); 

System. out. println(" 序 列 号 : " + x509cert. getSerialNumber().toString(16)); 
System. out. println(" 主 题 : " + x509cert. getSubjectDN( ) ) ; 

System. out. println(" 签 发 者 : " + x509cert. getIssuerDN()); 
System. out. println(" 有 效 期 起 始 日 : " + x509cert. getNotBefore()); 

System. out. println(" 有 效 期 失效 日 : " + x509cert. getNotAfter()); 


System. out. println(" 签 名 算法 : " + x509cert. getSigAlgName()); 
byte[ ] sign = x509cert.getSignature(); 


System. out. println(" 签 名 : " + new BigInteger(sign).toString(16)); 
PublicKey pubkey = x509cert. getPublicKey(); 
byte[ ] pubkeyenc 7 pubkey. getEncoded( ) ; 

System. out. println(" 公 钥 : " + byte2hex(pubkeyenc) ) ; 


keytool -printcert -file ray28120220.cer 
MAË: CN-Ray, OU-BUCT, O-BUCT, L-BJ, ST-BJ, C-BJ 
RAPE: CN-Ray, OU-BUCT, O-BUCT, L-BJ, ST-BJ, C-BJ 
|5: 191e6bbd 


明 开 始 日 期 : Mon Feb 28 21:46:26 CST 2012, ÆA Sun May 28 21:46:26 CST 


fti: ObjectId: 2.5.29.14 Criticality-false 
SubjectKeyIdentifier [ 

[KeyIdentifier [ 

ovaa: AA 4D 92 in 9A 8C 95 ED AC 38 1B C6 2A EF E9 C5 
0010: BD 32 B? 32 

1 

1 


图 10.4 显示 证 书 内 容 


函数 byte2hex() 与 前 面 的 例子 完全 相同 ,在 此 省 去 


运行 结果 如 下 : 
版 本 号 : 3 


序列 号 : 191e6bbd 
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全 名 : CN=Ray, OU=BUCT, O=BUCT, L—BJ. ST=BJ, C— BJ 

签发 者 全 名 : CN=Ray, OU-BUCT. O-BUCT. L=BJ, ST— BJ. C=BJ 

有 效 期 起 始 日 : Mon Feb 20 21:46:26 CST 2012 

有 效 期 截止 日 : Sun May 20 21:46:26 CST 2012 

签名 算法 : SHA-TwithDSA 

签名 : 302c02145e2f79785381fee3792ca83573bd4abdbd931e1e02142ea09dcaca0dfe7618b66874 
51698005e709b4fd 

公 钥 : 308201B83082012C06072A8648CE3804013082011F02818100FD7F53811D75122952D 
F4A9C2EECE4E7F611B7523CEF4400C31E3F80B6512669455D402251FB593D8D58FABFC5 
F5BA30F6CB9B556CD7813B801D346FF26660B76B9950A5A49F9FE8047B1022C24FBBA9 
D7FEB7C61BF83B57E7C6 A8A6150F04FB83F6D3C51EC3023554135A169132F675F3AE2B6 
1D72AEFF22203199DD14801C70215009760508F15230BCCB292B982A2EB840BF0581CF50 
2818100F7E1A085D69B3DDECBBCABS5C36B857B97994 AFBBFA3AEA82F9574COB3D0782 
675159578EBAD4594FE67107108180B449167123E84C281613B7CF09328CC8A6E13C167A8 
B547C8D28E0A3AE1E2BB3A675916EA37F0BFA213562F1FB627 A01243BCCA4F1 BEA8519 
089 A883DFE15AE59F06928B665E807B552564014C3BFECF492 A0381850002818100B905D8 
4204CEFC57440B464FCC3A AC46AF403D4369EE5B8105CE6 EOFD026887D77C89B51A73D 
EA96065232C0D5 B946B3316 A AEF64EE47 A47F91644024589C9DFDD095ED10CC4C259280 
A2B91A26D972B70B9A1F6AB21015AA18E727 A28E69C553444A6BC9346A177 B678DE4B3 
OAS8EAFO00E25745841 BBD7 ABFA275DD83FA662C 


10.2 JCE 


为 了 提供 对 机 密 性 安全 服务 的 支持 ,Java 平台 提供 了 一 种 类 似 于 JCA 框架 思想 的 JCE 
框架 。 

在 Java2SDK 的 1.2.x 及 1.3.x 版 本 中 ,JCE 都 是 以 可 选 包 的 形式 提供 的 。 但 从 1.4 
版 本 后 ,由 于 美国 对 加 密 技术 出 口 限制 的 放宽 ,JCE 也 被 集成 到 了 Java 的 SDK 中 ,直到 
今天 。 

JCE 提供 了 对 于 加 密 解密 、 密 钥 管 理 \ 消 息 验证 码 等 算法 的 实现 。 


10.2.1 对 称 密码 算法 


JCE 对 对 称 密码 算法 的 支持 非常 强大 ,可 支持 的 加 密 算法 包括 Blowfish, DES, DESede 
fll AES 等 。 

对 称 密码 算法 加 密 主要 用 到 以 下 几 个 类 。 

(D Cipher 类 : 包括 密码 选择 、 加 密 与 解密 。 它 是 JCE 框架 中 的 核心 部 分 。 

(2) KeyGenerator 类 : 用 来 产生 各 类 算法 的 密 钥 ,通过 getlnstance 方法 建立 ,并 用 init 
方法 初始 化 。 

(3) SecretKeyFactory 类 : 主要 处 理 对 称 算法 的 密 钥 产生 与 转换 。 
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使 用 对 称 密码 算法 进行 加 密 解 密 的 一 般 步 骤 如 下 : 
D 首先 生成 密 钥 并 保存 。 


KeyGenerator keygen = KeyGenerator. getInstance(Algorithm); 
SecretKey aeskey = keygen. generateKey(); 


(2) 用 密 钥 加 密 明 文 , 生 成 密 文 。 


Cipher cl = Cipher.getInstance(Algorithm); 
cl. init(Cipher.ENCRYPT MODE, aeskey); 
byte[ ] cipherByte = c1. doFinal (plaintext. getBytes( ) ) ; 


(3) 接收 方 收 到 密 文 和 密 钥 ,然后 用 密 钥 解密 密 文 。 密 文 的 发 送 可 以 在 非 安全 通道 上 
进行 ,但 密 钥 的 发 送 必须 通过 安全 通道 。 


cl = Cipher.getInstance(Algorithm); 
c1. init(Cipher. DECRYPT MODE, aeskey); 
byte[ ] decryptoByte = c1.doFinal(cipherByte); 


密 钥 aeskey 可 以 编码 成 “ 密 钥 材料 "后 , 存 和 人 密 钥 文 件 中 : 


java. io. ObjectOutputStream 

out = new java. io. ObjectOutputStream(new java. io. FileOutputStrean("aeskey.dat")); 
out. writeObject(aeskey) ; 

out.close(); 


当 接收 方 使 用 该 密 钥 时 ,可 从 密 钥 文件 中 读 出 * 密 钥 材 料 ”, 然 后 重建 密 钥 s 


java. io.ObjectInputStream in = new java. io. ObjectInputStream(new java. io.FileInput 
Stream( "aeskey. dat")) ; 

Key aeskey2 = (Key) in. readObject() ; 

in.close(); 


以 下 是 完整 的 加 密 算法 的 源 代码 : 


import java.security. * ; 
import javax.crypto. * ; 
public class TestAES ( 
/* 
* @author Ray 
*/ 
public static void main(String[] args) { 
TestAES my = new TestAES() ; 
my. run(); 
} 
public void run() { 
Security. addProvider(new com. sun. crypto. provider.SunJCE()) ; 
String Algorithm = "AES"; 
String plaintext = "TestOfEncryption"; 
try ( 
// 生 成 密 钥 
KeyGenerator keygen = KeyGenerator.getInstance(Algorithm); 
SecretKey aeskey = keygen. generateKey(); 
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// 密 钥 材 料 存 储 于 本 地 
java. io. ObjectOutputStream out = new java. io. ObjectOutputStream(new 


java. io. FileOutputStreanm("aeskey.dat")); 

out. writeObject(aeskey); 

out. close(); 

// 加 密 

System. out. println(plaintext); 

Cipher cl = Cipher. getInstance(Algorithm); 
cl.init(Cipher.ENCRYPT MODE, aeskey); 

byte[ ] cipherByte = c1.doFinal(plaintext. getBytes()); 
System. out. println(byte2hex(cipherByte)); 

// 重 建 密 钥 


java. io. Object InputStream in = new java. io. ObjectInputStream(new 
java. io. FileInputStream("aeskey. dat") ) ; 

Key aeskey2 = (Key) in. readObject() ; 

in.close(); 


// 解 密 

cl = Cipher.getInstance(Algorithm); 
cl.init(Cipher.DECRYPT MODE, aeskey2); 

byte[ ] decryptoByte = c1. doFinal(cipherByte); 
Systen. out. println(byte2hex(decryptoByte)); 
Systen. out. println(new String(decryptoByte)); 


catch ( java. security. NoSuchAlgorithmException el) (el.printStackTrace();]) 
catch ( javax. crypto. NoSuchPaddingException e2) (e2.printStackTrace();] 
catch ( java. lang. Exception e3) (e3.printStackTrace();]) 


} 


函数 byte2hex() 与 前 面 的 例子 完全 相同 ,在 此 省 去 。 

运行 结果 如 下 : 

TestOfEncryption 

61-65-04-02-65-E8-4B-51-07-19-08-B3-C3-6 B-F3-B1-30-42-38-56-42-87-77-36-6F-13- 
84-E3-39-BD-D6-41 

54-65-73-74-AF-66-45-6E-63-72-79-70-74-69-6F-6E 

TestOfEncryption 

以 上 例子 中 的 加 密 算 法 采用 的 是 AES 算法 。 默 认 情 况 下 ,加 密 算法 采用 的 加 密 模 式 是 
ECB 模式 。 


10.2.2 公 钥 密码 算法 


Java 从 1. 4 版 本 开始 支持 公 钥 密码 算法 中 的 RSA 算法 ,之 后 又 陆续 支持 一 些 其 他 的 公 
钥 密 码 算法 。 例 如 ,Java 7. 0 版 本 已 开始 支持 ECC 算法 。 

与 数字 签名 不 同 , 公 钥 密码 算法 中 用 公 钥 进行 加 密 , 用 私 钥 进行 解密 ,具体 步骤 如 下 : 

CD) 生成 密 钥 对 。 密 钥 对 生成 后 ,应 分 别 保存 , 私 钥 通常 存储 在 本 地 , 公 钥 则 可 提供 给 
消息 发 送 方 。 

密 钥 对 的 生成 仍 使 用 KeyPairGenerator 类 : 
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KeyPairGenerator keygen = KeyPairGenerator.getInstance("RSA"); 
keygen. initialize(1024); 

KeyPair keys 7 keygen. genKeyPair(); 

PublicKey pubkey = keys.getPublic(); 

PrivateKey prikey - keys.getPrivate(); 


密 钥 一 般 以 文件 的 形式 存储 : 


ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream ("RSApri key.dat")); 
out.writeObject(prikey); 

out = new ObjectOutputStream(new FileOutputStream("RSApubkey. dat")) ; 

out. writeObject(pubkey) ; 


(2) 加 密 需 要 用 到 公 钥 ,可 从 公 钥 文件 中 获取 公 钥 参数 : 


ObjectInputStream in = new ObjectInputStream(new FileInputStreanm("RSApub key. dat")); 
RSAPublicKey pubkey = (RSAPublicKey) in. readObject() ; 

BigInteger e= pubkey. getPublicExponent(); 

BigInteger n- pubkey. getModulus(); 


D 加 密 是 一 个 模 指 数 运算 : 
BigInteger cipherBI = plainBI. modPow(e, n) ; 
(4) 可 把 密 文保 存 到 本 地 文件 中 : 


String ciphertext = cipherBI. toString( ); 

BufferedWriter out = new BufferedWriter(new OutputStreamWriter(new FileOutput 
Stream("RSACipher. dat"))); 

out. write( ciphertext, 0, ciphertext.length( )); 


(5) 解密 需要 用 到 私 钥 , 可 从 私 钥 文件 中 获取 私 钥 参数 。 


ObjectInputStream in = new ObjectInputStream(new FileInputStrean("RSAprikey. dat")); 
RSAPrivateKey prikey = (RSAPrivateKey)in. readObject() ; 

BigInteger d= prikey. getPrivateExponent(); 

BigInteger n= prikey. getModulus(); 


(6) 解密 也 是 一 个 模 指 数 运算 。 


BigInteger plainBI = cihperBI. modPow(d,n); 
以 下 是 实现 RSA 密码 算法 的 代码 : 


import java.security. * ; 
import java. security. spec. * ; 
import javax.crypto. * ; 
import javax. crypto. spec. * ; 
import javax. crypto. interfaces. * ; 
import java. security. interfaces. * ; 
import java. math. * ; 
import java. io. * ; 
/* 

* (author Ray 


232 计算 机 安全 与 保密 


*/ 
public class TestRSA ( 
public static void main(String[] args) throws 
java. security. NoSuchAlgorithmException, java. lang. Exception ( 
TestRSA my - new TestRSA() ; 
my. run(); 
I 
public void run()( 
// 生 成 密 钥 对 : 如 果 已 经 生成 过 ,本 过 程 就 可 以 跳 过 
if ((new File("RSAprikey.dat")).exists() = = false) { 
if (generatekey() - - false) ( 
System. out. println(" 生 成 密 钥 对 失败 "); 


return; 


] 
try ( 
// 读 人 公 钥 文件 ,重建 公 钥 
ObjectInputStream in = new ObjectInputStream(new FileInputStream("RSApubkey. dat")); 
RSAPublicKey pubkey = (RSAPublicKey)in. readObject() ; 
in.close(); 
// 从 公 钥 中 读 出 参数 e 和 
BigInteger e = pubkey. getPubl icExponent( ) ; 
BigInteger n = pubkey. getModulus(); 
System. out. println(" 78] & X e: " + e); 
System. out. println(" 7:8] & V n: " + n); 
// 给 定 明文 编码 成 大 整数 
String plaintext = new String("TestOfRSA"); 
byte plainbytes[] = plaintext. getBytes("UTF8") ; 
BigInteger plainBI - new BigInteger(plainbytes); 
System. out. println("B] X : " + plaintext); 
System. out. println(" 明 文 编码 : " + plainBI. toString()); 
// 计算 密 文 
BigInteger cipherBI = plainBI. modPow(e, n); 
System. out. println(" 密 文 编码 : " + cipherBI.toString()); 
// 把 密 文 保存 到 本 地 文件 中 
String ciphertext = cipherBI. toString( ); 
BufferedWriter out = new BufferedWriter(new OutputStreamWriter(new 
FileOutputStrean("RSACipher. dat"))); 
out. write(ciphertext, 0, ciphertext. length( )); 
out.close( ); 
} catch (java. lang. Exception e) ( 
e. printStackTrace(); 
System. out. println(" 加 密 时 发 生 错 误 !"); 
} 
try ( 
// 通 过 私 钥 文件 重建 私 钥 
ObjectInputStream in = new ObjectInputStream(new FileInputStrean("RSAprikey.dat")); 
RSAPrivateKey prikey = (RSAPrivateKey) in. readObject(); 
in.close(); 
// 获 取 私 钥 参 数 
BigInteger d = prikey.getPrivateExponent(); 
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BigInteger n = prikey.getModulus(); 
System. out. println(" 私 钥 参 数 d: " + d); 
System. out. println(" 私 钥 参 数 n: " + n); 
// 读 出 密 文 
BufferedReader incipher = new BufferedReader(new InputStreamReader(new 
FileInputStrean("RSACipher.dat"))); 
String ciphertext - incipher. readLine(); 
incipher.close(); 
BigInteger cihperBI - new BigInteger(ciphertext); 
// 解 密 
BigInteger plainBI = cihperBI. modPow(d, n) ; 
Systen. out. println(" 解 出 明文 的 编码 : " + plainBI); 
byte[ ] plainbytes = plainBI.toByteArray(); 
System. out. print("fj ih ff] B] 3c : "); 
for(inti-0;i«plainbytes.length;i**) (System. out. print( (char) plainbytes[ i]);] 
} catch (java. lang. Exception e) (e. printStackTrace();] ; 
} 
// 生 成 密 钥 对 的 函数 
public boolean generatekey() ( 
try { 
java. security. KeyPairGenerator 
keygen 7 java. security. KeyPairGenerator.getInstance("RSA"); 
keygen. initialize(1024); 
KeyPair keys = keygen. genKeyPair(); 
PublicKey pubkey = keys. getPublic(); 
PrivateKey prikey = keys.getPrivate(); 
ObjectOutputStream out = new ObjectOutputStream 
(new FileOutputStream("RSAprikey. dat")); 
out. writeObject(prikey); 
out.close(); 
System. out. println(" 5j A XJ $& prikeys ok"); 
out = new ObjectOutputStream( new FileOutputStream("RSApubkey. dat")) ; 
out. writeObject(pubkey); 
out.close(); 
System. out. println(" tj A Xf & pubkeys ok"); 
System. out. println(" 生 成 密 钥 对 成 功 ") ; 
return true; 
) catch (java. lang. Exception e) ( 
e. printStackTrace(); 
System. out. println(" JA 4 £j Xd Ac We") ; 
return false; 


) 


) 

程序 运行 结果 如 下 : 

公 钥 参数 e: 65537 

公 钥 参数 n: 102985323645112462329922740935559716061920427374828773072924257277 
1496568381917596997544473198386090187031828262013342235803122278873478921245568 
9854169410300998833167508656309092334536911456627194247955695761076479503368661 
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8238920649707841805510853582976550530973662225287933849396152214489839172755081 
971367 

明文 : TestOfRSA 

明文 编码 : 1556836816696122692417 

密 文 编码 : 301866733816705521730343597500680945959042024007923384086717962577147 
0563844767605877480604677519096285959189871813129196010700430874342534948903190 
6974033675252039659919255388504436231680499418544146214024168076786187964237447 
3375008041754570344941046605196381844310199565074200116077942245416215940451629 
02 

私 钥 参 数 d: 55876102631687580077321098344242677933530167029222599644888242370888 
0097937412849444415923493419176875207558315770792425968344934802984016382348016 
8981732713615949283609015325191166656292543837507105691861233964073575749764373 
6299431471969984296170256972633852690720938520668413282425772095295096527185799 
153 

私 钥 参 数 n: 1029853236451124623299227409355597160619204273748287730729242572771 
4965683819175969975444731983860901870318282620133422358031222788734789212455689 
8541694103009988331675086563090923345369114566271942479556957610764795033686618 
2389206497078418055108535829765505309736622252879338493961522144898391727550819 
71367 

解 出 明文 的 编码 : 1556836816696122692417 

解 出 的 明文 : TestOfRSA 

程序 中 密码 算法 的 参数 往往 非常 大 ,所 以 在 运算 中 必须 使 用 BigInteger 类 。 


10.2.3 消息 验证 码 


消息 验证 码 的 核心 类 是 Mac 类 。 

计算 消息 验证 码 的 步骤 : 先 通过 getInstance 建立 Mac 对 象 , 再 用 init 方法 进行 初始 
化 ,最 后 用 doFinal() 方 法 来 计算 MAC 值 。 

以 下 给 出 计算 MAC 的 源 程 序 : 


import java. io. * ; 
import java.security. * ; 
import javax. crypto. * ; 
import javax. crypto. spec. * ; 
public class TestMAC( 
/x 
* @author Ray 
*/ 
public static void main(String args[]) throws Exception{ 
// 设 置 密 钥 
String key = "helloworld"; 
Systen.out.println(" 44: " +key); 
SecretKeySpec sks = new SecretKeySpec(key. getBytes(), " HmacMD5") ; 
// 生 成 MAC 实例 并 初始 化 
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Mac macl = Mac. getInstance("HmacMD5") ; 
macl.init(sks); 
String msg = "TestofMAC" ; 
Systen.out.println(" ifj E: " * msg); 
macl. update( msg. getBytes()) ; 
System. out. println("MAC: " + byte2hex(macl. doFinal())); 
} 
} 


函数 byte2hex() 与 前 面 的 例子 完全 相同 ,在 此 省 去 。 

运行 结果 如 下 : 

密 钥 : helloworld 

消息 : TestOfMAC 

MAC: EC-C6-8B-2B-E7-97-B5-A9-06-70-EE-95-31-41-86-CE 

本 例 中 采用 的 是 HmacMD5 算法 ,此 外 Java 还 支持 HmacSHA-1 等 算法 。 


10.2.4 Diffie-Hellman 密 钥 协商 协议 


前 面 已 介绍 过 Diffie-Hellman 密 钥 协商 协议 的 基本 原理 , 密 钥 协 商 主 要 用 在 不 安全 通 
道中 ,通信 双方 协商 出 一 个 共享 的 会 话 密 钥 。 

这 里 不 妨 假设 通信 双方 分 别 是 Alice 和 Bob.JCE 中 实现 的 Diffie-Hellman 密 钥 协 商 协 
议 可 通过 以 下 步骤 实现 : 

Q) 如 果 Alice 是 通信 发 起 方 ,Alice 先生 成 DH 类 型 的 密 钥 对 。 密 钥 对 的 产生 需要 一 
定 的 时 间 ,所 以 密 钥 对 生成 后 可 保存 下 来 供 下 次 继续 使 用 。 

密 钥 对 的 产生 仍 使 用 KeyPairGenerator 类 : 

KeyPairGenerator AliceKpairGen = KeyPairGenerator.getInstance("DH"); 


AliceKpairGen. initialize(1024); 
KeyPair AliceKpair = AliceKpairGen. generateKeyPair(); 


(2) Alice 将 密 钥 对 中 的 公 钥 发 送 给 Bob, Bob 从 Alice 发 送 来 的 公 钥 中 读 出 DH 964 
对 的 初始 化 参数 ,用 它 生 成 Bob 的 DH 密 钥 对 。 
需要 注意 的 是 Bob 与 Alice 具有 相同 的 初始 化 参数 ,是 DH 密 钥 协商 过 程 实现 的 前 提 。 


byte[] AlicePubKeyEnc = AliceKpair. getPublic().getEncoded(); 
KeyFactory BobKeyFac = KeyFactory.getInstance("DH"); 
X509EncodedKeySpec x509KeySpec - new X509EncodedKeySpec 
(AlicePubKeyEnc); 

PublicKey AlicePubKey = BobKeyFac.generatePublic(x509KeySpec) ; 
DHParameterSpec dhParamSpec = ((DHPublicKey)AlicePubKey).getParams(); 
KeyPairGenerator BobKpairGen = KeyPairGenerator. getInstance("DH"); 
BobKpairGen. initialize(dhParamSpec); 

KeyPair BobKpair = BobKpairGen.generateKeyPair(); 


Bob 凭借 自己 的 私 钥 和 Alice 的 公 钥 生成 用 于 DES 加 密 的 会 话 密 钥 。 


KeyAgreement BobKeyAgree = KeyAgreement.getInstance("DH"); 
BobKeyAgree. init(BobKpair.getPrivate()); 
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BobKeyAgree. doPhase(AlicePubKey, true); 
SecretKey BobSessionKey = BobKeyAgree. generateSecret("DES") ; 


虽然 Bob 已 拥有 了 会 话 密 钥 , 但 Alice 还 不 知道 这 个 会 话 密 钥 。 为 此 ,Bob 将 他 的 DH 
密 钥 对 中 的 公 钥 发 送 给 Alice, 这 样 Alice 就 可 以 根据 Bob 的 公 钥 来 生成 一 个 相同 的 会 话 密 


钥 了 。 
byte[ ] BobPubKeyEnc = BobKpair.getPublic().getEncoded(); 
KeyFactory AliceKeyFac = KeyFactory.getInstance("DH"); 
x509KeySpec = new X509EncodedKeySpec(BobPubKeyEnc); 
PublicKey BobPubKey = AliceKeyFac.generatePublic(x509KeySpec) ; 
KeyAgreement AliceKeyAgree = KeyAgreement. getInstance("DH"); 
AliceKeyAgree. init(AliceKpair.getPrivate()); 
AliceKeyAgree. doPhase(BobPubKey, true); 
SecretKey AliceSessionKey - AliceKeyAgree. generateSecret ("DES") ; 


有 了 相同 的 会 话 密 钥 ,现在 Alice 和 Bob 就 可 以 借助 会 话 密 钥 进行 DES 算法 的 加 密 解 


密 了 。 
以 下 是 完整 的 源 代码 : 


import java. security. * ; 

import java. security. spec. * ; 
import javax. crypto. * ; 

import javax. crypto. spec. * ; 
import javax. crypto. interfaces. * ; 
public class TestDHKey ( 


/* 
* @author Ray 
x/ 
public static void main(String argv[]) ( 
try ( 
TestDHKey my = new TestDHKey(); 
ny.run(); 


) catch (Exception e) ( Systen. err. println(e); } 
} 
private void run() throws Exception { 
Security. addProvider(new com. sun. crypto. provider. SunJCE( ) ); 
//Mice 生成 DH 对 
Systen. out. println("Alice create DH pairs"); 
KeyPairGenerator AliceKpairGen = KeyPairGenerator.getInstance("DH"); 
AliceKpairGen. initialize(1024); 
KeyPair AliceKpair = AliceKpairGen. generateKeyPair(); 
// Mice 生成 公共 密 钥 ALicePubKeyEnc 并 发 送 给 Bob, 内 含 DH 对 的 种 子 
// Bob 接收 到 Alice 的 编码 后 的 公 钥 ,将 其 解码 
byte[] AlicePubKeyEnc = AliceKpair.getPublic(). getEncoded() ; 
KeyFactory BobKeyFac = KeyFactory.getInstance("DH"); 
X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec (AlicePubKeyEnc); 
PublicKey AlicePubKey = BobKeyFac.generatePublic(x509KeySpec) ; 
System. out. println("Bob get Alice\' s Pubkey") ; 
// Bob 还 要 读 出 种 子 参数 ,再 用 这 个 参数 初始 化 他 的 DH 对 
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the same 


DHParameterSpec dhParamSpec = ((DHPublicKey)AlicePubKey).getParams(); 
KeyPairGenerator BobKpairGen - KeyPairGenerator.getInstance("DH"); 
BobKpairGen. initialize(dhParamSpec); 

KeyPair BobKpair = BobKpairGen.generateKeyPair(); 

System. out. println("Bob create DH pairs"); 

KeyAgreement BobKeyAgree = KeyAgreement.getInstance("DH"); 
BobKeyAgree. init(BobKpair.getPrivate()); 

System. out. println("Bob initial session key generator by his private key"); 
//Bob 生成 与 Alice 共享 的 会 话 密 钥 BobSessionKey 

BobKeyAgree. doPhase(AlicePubKey, true); 

SecretKey BobSessionKey = BobKeyAgree.generateSecret ("DES"); 

System. out. println("Bob create session key successfully"); 

// Bob 生成 自己 的 公 钥 包 并 发 送 给 Alice 

byte[] BobPubKeyEnc = BobKpair.getPublic().getEncoded(); 

Systen. out. println("Bob send his public key to Alice"); 

// Alice 接收 到 BobPubKeyEnc 后 解码 出 Bob 的 公 钥 

KeyFactory AliceKeyFac = KeyFactory.getInstance("DH"); 

x509KeySpec = new X509EncodedKeySpec ( BobPubKe yEnc) ; 

Publ icKey BobPubKey = AliceKeyFac.generatePublic(x509KeySpec) ; 

Systen. out. println("Alice get Bob' s public key"); 

//Mice 用 自己 的 私 钥 初 始 化 会 话 密 钥 生 成 器 ,同时 验证 Bob 的 身份 
KeyAgreement AliceKeyAgree = KeyAgreement. getInstance("DH"); 
AliceKeyAgree. init(AliceKpair.getPrivate()); 

Systen. out. println("Alice initialize Alice' s session key generator"); 
AliceKeyAgree. doPhase(BobPubKey, true); 

// Mice 生成 会 话 密 钥 

SecretKey AliceSessionKey = AliceKeyAgree. generateSecret("DES"); 
System. out. println("Alice create session key successfully"); 

// 现在 Mice 与 Bob 有 了 相同 的 会 话 密 钥 

if (AliceSessionKey. equals(BobSessionKey)) System. out. println("Now, Alice & Bob have 
key"); 

// Bob 用 BobSessionKey 密 钥 加 密 信息 

Cipher BobCipher = Cipher.getInstance("DES"); 

BobCipher.init(Cipher. ENCRYPT MODE, BobSessionKey); 

String BobMsg = "TestOfDHKey"; 

Systen. out. println("Bob's plaintext: " * BobMsg); 

byte[] cleartext = BobMsg.getBytes(); 

byte[] ciphertext = BobCipher.doFinal(cleartext); 

// Alice 用 AliceSessionKey 密 钥 解密 

Cipher AliceCipher = Cipher.getInstance("DES"); 

AliceCipher. init(Cipher.DECRYPT MODE, AliceSessionKey); 

byte[] recovered = AliceCipher.doFinal(ciphertext); 

Systen. out. println("Alice decrypt Bob's cipher: " * (new String(recovered))); 
if (!java.util.Arrays. equals(cleartext, recovered)) throw new Exception( "解密 后 与 原 


文 信息 不 同 "); 


System. out. println( "解密 成 功 "); 
) 


程序 运行 结果 如 下 : 
Alice create DH pairs 
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Bob get Alice' s Pubkey 

Bob create DH pairs 

Bob initial session key generator by his private key 
Bob create session key successfully 

Bob send his public key to Alice 

Alice get Bob' s public key 

Alice initialize Alice's session key generator 
Alice create session key successfully 
Now.Alice & Bob have the same key 
Bob's plaintext: TestOfDHKey 

Alice decrypt Bob's cipher; TestOfDHKey 


10.3 JSSE 


在 JDK 1.4 版 本 之 前 ,JSSE 是 一 个 可 选 的 包 。 从 JDK 1. 4 版 本 开始 ,JSSE 成 为 了 标 
准 的 JavaAPI。 

JSSE API 通过 提供 扩充 的 网 络 Socket 类 .证 书 管理 器 . 密 钥 管理 器 .SSLContext 和 用 
来 封装 Socket 创建 的 Factory 框架 ,完善 了 java. security 包 和 java. net 包 中 的 核心 加 密 
服务 。 

JSSE 的 API 支持 SSL 版 本 2.0.3.0 和 TLS 版 本 1.0。 


10.3.1 SSL 


SSL 编程 需 使 用 以 下 几 个 java f. 

(D) javax. net. ssl; 包括 进行 安全 通信 的 类 ,如 SSLServerSocket 和 SSLSocket 类 。 

(2) javax. net: 包括 SSL 的 Factory 类 ,如 SSLServerSocketFactory 和 SSLSocketFactory 类 。 

(3) java. security. cert; 包括 处 理 安全 证 书 的 类 ,如 X509Certificate 类 。 

(4) com. sun. net. ssl; 包括 SUN 公司 提供 JSSE 的 实现 类 。 

JSSE 中 的 核心 类 是 SSLServerSocket 类 和 SSLSocket 类 ,它们 分 别 是 ServerSocket 和 
Socket 类 的 子 类 。 

SSLServerSocket 对 象 由 SSLServerSocketFactory 创建 ,SSLSocket 对 象 由 SSLSocket 
Factory 创建 。 而 SSLSocketFactory、SSLServerSocketFactory 以 及 SSLEngine 对 象 又 都 
由 SSLContext 对 象 创建 。 

下 面 通过 一 个 Client/Server 编程 实例 来 介绍 如 何 利 用 JSSE 进行 SSL 编程 。 

建立 SSL 的 服务 器 和 客户 端 时 需要 用 到 密 钥 库 , 因 此 在 编程 前 应 将 密 钥 库 准 备 好 ,这 
里 可 以 直接 使 用 10. 1. 3 节 中 的 密 钥 库 : keystore。 

建立 SSL 服务 器 的 具体 步骤 如 下 : 

CD 设置 密 钥 库 及 口令 属性 。javax. net. ssl. keyStore 指定 密 钥 库 的 名 称 ,javax. net. 
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ssl. keyStorePassword 指定 密 钥 库 的 密码 。 


System. setProperty(" javax. net. ssl. keyStore"”, ". keystore"); 
System. setProperty("javax. net. ssl. keyStorePassword" , "abc123"); 


(2) 创建 SSLServerSocketFactory 对 象 。 

SSLServerSocketFactory sslssf = (SSLServerSocketFactory) SSLServerSocketFactory. getDefault( ); 
(3) 创建 ServerSocket 对 象 ,此 时 需要 指定 服务 的 端口 号 。 

ServerSocket servsock = sslssf. createServerSocket(9632) ; 

(4) 等 待 客户 的 连接 请 求 。 

Socket socket1 = servsock. accept( ); 

(5) 连接 建立 以 后 ,可 以 向 客户 端 发 送信 息 。 


PrintStream out = new PrintStream(socketl.getOutputStream( )); 
out.println("Hi client, It's server."); 


以 下 是 建立 SSL Server 的 完整 程序 : 


import java. net. * ; 
import java. io. * ; 
import javax. net. ssl. * ; 
public class TestSimpleSSLServer( 
/* 
* (Qauthor Ray 
*/ 
public static void main(String args[ ]) throws Exception{ 
System. setProperty(" javax. net. ssl. keyStore", " . keystore") ; 
System. setProperty(" javax. net. ssl. keyStorePassword", "abc123"); 
SSLServerSocketFactory sslssf - (SSLServerSocketFactory) 
SSLServerSocketFactory.getDefault( ); 
ServerSocket servsock = sslssf.createServerSocket(9632); 
System. out. println("Server is ready--"); 
while(true)( 
Socket socketl = servsock.accept( ); 
PrintStream out - new PrintStream(socketl.getOutputStream( )); 
out.println("Hi client, It's server."); 
out.close( ); 
Socket1l.close( ); 


) 

} 

运行 结果 如 图 10.5 所 示 。 

建立 客户 端 之 前 ,需要 将 服务 器 的 公 钥 证 书 先 放 在 客户 端 一 个 密 钥 库 中 ,并 在 程序 中 
指定 。 

这 里 将 10.1. 3 小 节 中 的 证 书 ray20120220. cer 导入 到 密 钥 库 clienttrust 中 ,相应 的 语 
句 是 keytool -import-alias ray20120220-file ray20120220. cer-keystore clienttrust。 


WINDOWS syste: 


javaNJavaSecurity?javac TestSimpleSSLSeruer 


java MJavaSecurity?java TestSinpleSSLServer 
[Server is ready 


图 10.5 SSL Server 运行 结果 


具体 步骤 如 下 : 
(1) 设置 客户 程序 信任 的 密 钥 库 。 
System. setProperty("javax. net. ssl. trustStore", "clienttrust"); 


因为 clienttrust 中 存放 的 是 公 钥 证 书 , 所 以 不 需要 密码 。 
(2) 创建 SSLSocketFactory 对 象 。 


SSLSocketFactory sslssf = (SSLSocketFactory) SSLSocketFactory.getDefault(); 
(3) 创建 Socket 对 象 ,建立 连接 。 


Socket socketl- sslssf.createSocket("192.168.1.98", 9632); 


这 里 的 端口 号 要 与 服务 器 的 SSL 服务 端口 号 一 致 
(4) 连接 建立 以 后 ,可 以 接收 来 自 服务 器 端的 信息 。 


BufferedReader in = new BufferedReader( new InputStreamReader( socket1.getInputStream())); 


String line- in.readLine(); 


当然 客户 端 也 可 以 用 同样 的 方法 向 服务 器 发 送信 息 。 
现 SSL Client 的 完整 程序 如 下 : 


import java. net. * ; 

import java. io. * ; 

import javax. net. ssl. x ; 

public class TestSimpleSSLClient( 

/x 

* @author Ray 

x/ 

public static void main(String args[]) throws Exception { 
System. setProperty(" javax. net. ssl.trustStore", "clienttrust"); 
SSLSocketFactory sslssf - (SSLSocketFactory) SSLSocketFactory. getDefault(); 
Socket socketl- sslssf.createSocket("192.168.1.98", 9632); 
BufferedReader in- new BufferedReader(new InputStreamReader 
(socket1.getInputStream())); 
String line = in. readLine(); 
System. out. println(line); 


in.close(); 
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结果 如 图 10.6 所 示 。 
NDOWS\systenm32\cad. exe 


D: NjavaNJavaSecurity?javac TestSinpleSSLClient.java 


[D: NjavaNJavaSecurity?java TestSinpleSSLClient 
Hi client, It’ ver. 


D: Njava MJavaSecurity?,, 


图 10.6 SSL Client 运行 结果 


10.3.2 HTTPS 


HTTPS 是 最 常见 的 SSL 应 用 ,下 面 将 用 JSSE 来 建立 一 个 简单 的 HTTPS 服务 器 。 

建立 HTTPS 服务 器 的 过 程 与 建立 一 般 的 SSL 服务 器 过 程 类 似 ,特别 之 处 包括 以 下 几 
个 方面 

(1) 由 于 服务 器 既 要 接收 客户 端的 请 求 又 要 给 出 响应 ,所 以 通常 既 要 获取 输入 流 又 要 
获取 输出 流 。 

通过 Socket 的 getOutputStream() 方 法 可 以 得 到 OutputStream 对 象 ,通过 Socket 对 
象 的 getInputStream() 方 法 可 以 创建 BufferedReader 类 型 的 对 象 。 

相应 的 语句 是 

PrintStream out = new PrintStream(socketl.getOutputStream()); 

BufferedReader in = new BufferedReader( new InputStreamReader( socketl.getInputStream())); 


(2) 向 客户 端 发 送 的 响应 信息 需要 符合 HTTP 协 议 的 要 求 ,如 根据 HTTP 协议 的 规 
定 ,Web 服务 器 收 到 浏览 器 发 来 的 请 求 后 ,会 将 浏览 器 HTTP 版 本 ,数据 类 型 等 信息 发 送 
给 客户 端 。 

相应 的 语句 是 : 


out. println( "HTTP/1.0 200 OK"); 
out. println("MIME version:1.0"); 
out. println("Content Type:text/html"); 


在 接 下 来 的 实例 中 ,将 实现 一 个 简单 的 网 站 访问 计数 功能 。 
以 下 是 HTTPS Server 的 完整 程序 : 


import java.net. * ; 

import java. io. * ; 

import javax. net. ssl. * ; 

public class TestSimpleHTTPSServer ( 

/* 

* @author Ray 

x/ 

public static void main(String args[]) ( 

int count = 0; 
try ( 


w 


N 
x 
E 
Gi 
» 
Dd 
dr 
R 
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System. setProperty(" javax. net. ssl. keyStore", 
System. setProperty(" javax. net. ssl. keyStorePassword" , "abc123") ; 
SSLServerSocketFactory sslssf - (SSLServerSocketFactory) 
SSLServerSocketFactory.getDefault(); 
ServerSocket servsock = sslssf.createServerSocket(443); 
System. out. println("Web server is ready ~"); 
while(true)| 
Socket socketl = servsock.accept(); // 等 待 请 求 
PrintStream out = new PrintStream(socketl.getOutputStream()); 
BufferedReader in = new BufferedReader(new 
InputStreamReader( socket1.getInputStream())); 
String msg - null; 


-keystore"); 


while(( msg = in. readLine())! = null){ 
// 读 取 客 户 端 信息 
System. out. println("Get message V'" +msg+" 
if(msg. equals("")) break; 


" from client."); 


) 
out. println("HTTP/1.0 200 OK\r\nContent - Type: text/htmlNrNn" ) ; 
// 显 示 计数 


out. println("< html > < head ></head >< body > You are welcome, Dear 
No. " + (count++) +" visitor.«/Body »«/htm1l»"); 
out.close(); 
socketl.close(); 
in.close(); 
) 
} catch (IOException e) { 
System. out. println(e); 


} 


运行 结果 如 图 10.7 Bron. 


->] 


D:\java\JavaSecurity>javac TestSinpleHTIPSServer. java 


D: NjavaMavaSecurity?java TestSinpleHTTPSServer 


10.7 HTTPS 服务 器 运行 结果 
通过 浏览 器 访问 该 服务 器 ,结果 如 图 10. 8 所 示 。 


F https://192. 168- 1.98/ - Microsoft Internet E... 
XPD RED SEV KEW IRD Ebo |Æ 
Oe- O- NAOR «wx 6 
EAE (D) [Æ https://192. 168. 1.98/ 


You are welcome, Dear No. 6 visitor. 


GESA Bj (e Internet 


图 10.8 浏览 器 访问 HTTPS 服务 器 运行 结果 


信息 ,如 图 10. 9 所 示 。 


ready ` 
ET / HTIP/1.1" from client. 

ccept: x/*" fron client. 
ccept-Language: zh-cn” from client. 


message coding: gzip, deflate” fron client. 
message E lla/4.8 (compatible; MSIE 6.8; Windows NT 


ne 


ge -168.1.98" from client. 


message onnection: Keep-Alive” fron client. 
message from client- 
message "GET / HITP/1.1" fron client. 


图 10.9  HTTPS 服务 器 运行 结果 


如 果 不 用 浏览 器 访问 ,还 可 以 自己 编写 客户 端 程序 


其 程序 如 下 : 


import java.net. * ; 


import java. io. * ; 


import javax. net. ssl. * ; 
public class TestSimpleHTTPSClient ( 


public static void main(String args[ ])throws Exception { 


try ( 
/x 


*/ 


@author Ray 


System. setProperty(" javax. net. ssl. trustStore", "clienttrust"); 
String hostname - "192.168.1.98"; 

int port = 443; 

SSLSocketFactory sslssf = (SSLSocketFactory) 

SSLSocketFactory. getDefault(); 

Socket socketl = sslssf.createSocket(hostname, port); //$& y xk fi 
OutputStream outstrm = socketi.getOutputStream(); 

PrintStream out = new PrintStream(outstrm); 

InputStream instrm = socketl.getInputStreanm(); 

BufferedReader in = new BufferedReader( new InputStreamReader( instrm)); 
// 向 服务 器 发 送信 息 

out. println("Hi HTTPS Server, It's client."); 


out. println( x 

String line= null; 

while( (line = in. readLine( ))! = null){ 
System. out. println(line); 

} 


in.close(); 


out. close(); 


) catch(IOException e) ( 


) 
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程序 运行 结果 如 图 10. 10 所 示 。 


c C:\WINDOYS\systen32\cad. exe 


D: NjavaMavaSecurity?javac TestSinpleHIIPSClient.java 


[D: NjavaNJavaSecurity?java TestSinpleHTITPSClient 
HTTP⁄1.0 200 OK 
Content-Type: text/html 


Khtm1> €«head»X/head?Xbody2You are uelcome, Dear No. 8 visitor.</Body></h| 
D:\java\JavaSecurity)java TestSimpleHTIPSClient 


HTTP⁄1.0 200 OK 
Content-Type: text/html 


Khtm1> <head></head><body>¥ou are welcome, Dear No. 1 visitor.C/Body?C/h| 


D: Njava MavaSecurity?,, 


图 10.10 Java 程序 访问 HTTP 服务 器 运行 结果 


10.4 JAAS 


JAAS 提供 了 根据 用 户 标识 来 限制 资源 访问 的 认证 标准 方法 

JAAS 认证 采用 可 插入 式 验 证 模块 (PAM) ,允许 应 用 程序 同 底 层 认 证 技术 的 具体 实现 
保持 独立 ,新 增 或 者 更 新 认证 方法 并 不 需要 更 改 应 用 程序 

JAAS 认证 的 核心 类 和 接口 包括 以 下 内 容 

(D LoginContext; 应 用 程序 通过 实例 化 LoginContext 对 象 开始 认证 过 程 。 

(2) LoginModule: 引用 配置 文件 中 的 具体 认证 方法 , 即 LoginModule 对 象 ,来 执行 
认证 。 

(3) CallbackHandler. Callback: callback 包 中 的 CallbackHandler 类 要 求 用 户 输入 用 
户 信息 ,如 别名 、 密 钥 库 密码 和 私 钥 密 码 等 

it) H JAAS 进行 认证 的 具体 步骤 如 下 : 

(1) 创建 和 用 户 交互 的 回调 处 理 器 对 象 


DialogCallbackHandler handler = new DialogCallbackHandler( ); 


除了 DialogCallbackHandler 类 外 ,callback 包 还 提供 了 TextCallbackHandler, 以 文本 
方式 和 用 户 交 互 
(2) 创建 LoginContext 对 象 。 


LoginContext lc = new LoginContext("ray20120224", handler); 


,一 个 是 配置 文件 中 的 条 目 名 称 ; 另 一 个 参数 是 


3 


LoginContext 类 的 构造 器 有 两 个 
前 面 创 建 的 回调 处 理 器 。 
(3) 执行 登录 操作 ,相应 的 语句 是 


lc. login(); 
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(4) 登录 成 功 后 ,可 进行 进一步 的 处 理 。 如 


Subject subj = lc.getSubject(); 
System. out. println(subj.getPrincipals()); 


通过 getSubject() 方 法 可 得 到 代表 登录 主体 名 称 ,通过 getPrincipals() 方 法 可 得 到 身份 
信息 。 

(5) 如 果 登 录 不 成 功 , 则 可 以 处 理 LoginException 对 象 , 返 回 出 错 信息 或 重新 登录 。 

以 下 是 一 个 完整 的 JAAS 认证 程序 ， 


import com. sun. security. auth. callback. DialogCallbackHandler; 
import javax. security.auth. * ; 
import javax. security.auth.login. * ; 
public class TestSimpleLogin { 
public static void main(String[] args) throws Exception { 
/* 
* (Qauthor Ray 
*/ 
// 指 定 登录 配置 文件 
DialogCallbackHandler handler = new DialogCallbackHandler(); 
LoginContext lc = new LoginContext("ray20120224", handler); 
boolean passflag; 
try { 
lc. login(); 
// 登 录 成 功 
passflag = true; 
System. out. println("Login succeeded! "); 
Subject subj = lc.getSubject(); 
System. out. println(subj. getPrincipals()); 


catch (LoginException le) ( 
// 登 录 失 败 
passflag = false; 
System. err. println("Login failed!"); 


} 
相应 的 配置 文件 ray20120224. config, 内 容 如 下 : 


ray20120224 { 
con. sun. security. auth. module. KeyStoreLoginModule required 
keyStoreURL = "file:D:/java/javaSecurity/.keystore"; 

} 

运行 时 ,输入 命令 : 


java- Djava. security. auth. login. config = ray20120224.config TestSimpleLogin 


将 弹出 一 个 登录 界面 ,如 图 10. 11 所 示 。 
如 果 验 证 成 功 , 则 输出 结果 如 图 10. 12 所 示 。 
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Confirmation 


请 输入 密 乌 库 信息 


mSEEERES| | 


eene — ——À] 
LASHOS MH: 


图 10.11 登录 窗口 


` C: WINDOWSAsysten32Vcnd. exe 


avaNJavaSecurity?java -Djava.security.auth.login.config-ray20120224.config T 
inpleLogin 


Login succeeded? 
ICN-Ray, OU-BUCT, O-BUCT, L-BJ, ST-BJ, C-BJ1 


D: Njava MavaSecurity? 


图 10.12 登录 成 功 后 的 输出 结果 


VA E KAER P di A 
其 他 风格 的 登录 模块 ,只 要 编写 类 
commit() ,abort O 和 logout O 等 方法 即 可 


10.5 J 题 


l. Java 加 密 体系 结构 包括 哪 几 个 部 分 ? 


2. 1E Java 加 密 体系 结构 中 ， 提供 基于 SSL 的 安全 通信 功能 。 

3. 在 Java 加 密 体系 提供 用 户 身 份 认证 的 功能 。 

4. 在 java. security GrP] — 类 提供 了 计算 消息 摘要 的 服务 。 

5. RSA 密码 算法 的 参数 往往 非常 大 ,所 以 在 运算 中 一 般 需 要 使 用 类 。 


6. 编程 实现 一 个 HTTPS 服务 器 。 

7. 编程 实现 一 个 SSL 客户 端 。 

8. 编程 实现 一 个 基于 JAAS 的 登录 模块 。 

9. 分 析 以 下 程序 段 的 目的 , 试 求 相应 的 运行 结 


String key = "ipadipad"; 

SecretKeySpec sks = new SecretKeySpec(key. getBytes( ), "HmacMD5") ; 
Mac macl = Mac. getInstance( "HmacMD5") ; 

macl.init(sks); 

String msg - "Helloworld"; 

macl.update(msg. getBytes()); 

System. out. println(byte2hex(macl.doFinal())); 


附录 A Shannon 理论 


1949 4E. Claude Shannon 在 Bell Systems Technical. Journal. 上 发 表 了 题 为 Communication 
Theory of Secrecy Systems 的 论文 。 这 篇 论文 对 密码 学 的 发 展 产生 了 巨大 的 影响 ,使 密码 
学 从 根据 经 验 来 研究 转变 到 根据 科学 来 研究 ,其 中 最 重要 的 理论 就 是 本 附录 要 讨论 的 
Shannon 信息 论 。 


A.1 概率 论 基 础 


密码 体制 的 无 条 件 安全 性 不 能 用 计算 复杂 性 的 观点 来 研究 , 谈 及 无 条 件 安全 ,允许 的 计 
算 时 间 是 无 限 的 。 

研究 无 条 件 安全 的 合适 框架 是 概率 论 。 

定义 A.1( 随 机 变量 ) 一 个 离散 的 随机 变量 ,由 有 限 集合 X 和 定义 在 X 上 的 概率 分 布 
组 成 。 

用 PrLX 二 z+] 表示 随机 变量 X 取 xz 时 的 概率 ,如 果 随 机 变量 是 固定 的 ,也 可 缩写 成 
PrLX]。 对 任意 的 zxEX, 则 有 : 

OxPr[x]x«1 

JB: 


> Prle] 一 1 


z€X 
例如 ,可 以 把 抛 硬币 看 成 定义 在 集合 {heads,tails} 上 的 随机 变量 。 相 关 的 概率 分 布 可 
以 是 ， 
PrLheads] 王 Pr[ tails]— 1/2 
假设 X 是 定义 在 集合 X 上 的 随机 变量 ,ECX。x 在 X 子 集 E 上 取 值 的 概率 计算 
WF: 
Pr[z € E] = YJPr[x] 


z€E 


子 集 忆 通常 称 为 事件 。 
定义 A.2( 独 立 性 ) 假设 X 和 了 是 分 别 定义 在 有 限 集合 X 和 Y 上 的 随机 变量 。 
联合 概率 Prie. yl X Htc JE HY 取 y 的 概率 ; 条 件 概率 Pr[ xl y EAR Y By EX 
取 z 的 概率 。 
如 果 对 任意 的 TEX 和 yEY ,成立 : 
PrLz,yJ]=PrLzx]JPrLy] 
称 随机 变量 X 和 了 是 统计 独立 的 。 
联合 概率 和 条 件 概率 可 以 通过 下 面 的 等 式 和 贝 叶 斯 定理 联系 起 来 。 
Prlz, y]=PrLe|y]PrLy] 
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Prr, y] — PrL y] x ]PrL x] 
定理 A.1( 贝 叶 斯 定理 ) 如 果 Pri y 103A : 


Pis | y] = Pep 


推论 A.1 X 和 了 是 统计 独立 的 随机 变量 , 当 且 仅 当 对 所 有 的 s€ X A y € Y JR vr: 
Pr[ 2| y] — Pr x] 


A.2 完善 保密 性 


假设 (P,C,K,E,D) 是 一 个 特定 的 密码 体制 , 密 钥 只 使 用 一 次 。 明 文 空间 P 存在 一 个 
概率 分 布 , 可 定义 一 个 随机 变量 用 X RR PrLX Sr] RRAN ac 发 生 的 先 验 概率 。 

还 假设 Alice( 发 送 者 ) 和 Bob( 接 收 者 ) 以 固定 的 概率 分 布 选取 密 钥 (通常 密 钥 是 随机 选 
取 的 ,因此 所 有 的 密 钥 都 是 等 概率 的 ) 。 

密 钥 也 定义 一 个 随机 变量 ,用 K 表示 。PrL K 一 对 表示 密 钥 k REER. 

密 钥 是 在 Alice 知道 明文 之 前 选取 的 ,因此 也 可 以 合理 地 假设 密 钥 与 明文 是 独立 的 随 
机 变量 。 

PAK 的 概率 分 布 可 导出 C 的 概率 分 布 。 同 样 可 以 把 密 文 看 成 随机 变量 ,用 y 表示 。 
密 文 y 的 概率 表示 为 Pr[Y — y ] E X: 

CU) = felz): x € P) 
C(k) 代 表 密 钥 是 时 所 有 可 能 的 密 文 。 对 于 任意 的 yEC, 则 有 : 
Pr[Y = y]= D») POK = &k]PrLX = d,(y)] 


(Kiy€ COD) 
对 于 任意 的 yEC 和 xEP, 可 计算 条 件 概 率 Pr[Y = y| Xa] Glue £6 5E B] XC r, EX 
y 的 概率 ): 


P[Y-»|X—2]- J, PrK=#] 
Ui d, G0] 
根据 贝 叶 斯 定理 计算 条 件 概率 Pre[X — rl Y= y]: 
P[X—2z]x = 


S) PrLK = k]Pr[X = di(y)] 


{k:y€CCk)} 
只 要 知道 概率 分 布 便 可 以 完成 以 上 计算 。 
例 A.1 假设 已 ={a:o} 满 足 : 
Pr[a] = 1/4, Pr[5] = 3/4 


Pr[X =z|Y=y] 


d K= {ki skz ,ks} 
Pr{ki} =1/2, Pr{k:} = Pr{k;} = 1/4 
C= {1,2,3,4} 
加 密 函 数 定义 为 : 
en Ca) =], er (b) = 2, er, (a) =2, er (b) =3, er (a) =3, er, (b) =4 
以 上 加 密 函 数 也 可 以 用 表 A. 1 表示 。 
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RAI WER 
a b 
kı 1 2 
kz 2 3 
k; 3 4 
计算 e 上 的 概率 分 布 如 下 : 
Pr[1] = i 
= T 
Pr[2] = $16 7 16 
"T E E 
Pr[5] — 15-16 7 4 
—3 
Pr[4] = 16 


接 下 来 计算 给 定 密 文 条 件 下 ,明文 空间 上 的 条 件 概 率 分 布 为 ; 
pilslll=1 Puüb]i]o 


Pra | 2] = E Pio | 2] = i 
1 E 
4 


Pr[a| 3] — F Pri[0|]3] = 
Pr[al4]2 0 Pr[5|]4]—- 1 
然后 定义 完善 保密 性 的 概念 。 简 单 地 讲 , 完 善 保密 性 就 是 说 攻击 者 (Eve) 不 能 通过 观 
察 密 文 得 到 明文 的 任何 信息 。 
定义 A.3( 完 善 保密 性 ) 一 个 密码 体制 具有 完善 保密 性 , 即 如 果 对 于 任意 的 EP 和 
yEC, 则 有 : 
Pr[x | y] = Pr] 
也 就 是 说 ,给 定 密 文 y, 明 文 为 zx 的 后 验 概率 等 于 明文 x 的 先 验 概 率 。 
在 例 A.1 中 ,对 于 密 文 y==3 满足 完善 保密 性 的 定义 ,但 是 对 其 他 的 密 文 不 满足 。 
现在 证 明 移 位 密码 的 完善 保密 性 。 从 直觉 上 看 这 是 很 显然 的 ,因为 对 于 任意 给 定 的 密 
X yE Za ,任何 x € Zo 都 可 能 是 对 应 的 明文 。 
定理 A.2 假设 移 位 密码 的 26 个 密 钥 都 是 以 相同 的 概率 1/26 使 用 的 , 则 对 任意 的 明 
文 概率 分 布 , 移 位 密码 具有 完善 保密 性 。 
WH: 这 里 P=C=K =Z, XF OsCRxc25 ,加 密 函 数 ex 定义 为 : 
ej Cr) = Gr 4- bk) mod 26 
首先 计算 C 上 的 概率 分 布 。 


假设 y € Za, , 则 : 
Pr[Y = y]= >) PrLK = kJPrLX = di,(y)] 
ee) 
EIE: y—&] a; D PIX yi 
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如 果 固 定 y, 值 (y 一 &) mod 26 构成 一 个 置换 。 因 此 : 
D PCX = y-k] = MPB[X—2]-1 


kE Zag kE Zu 
得 到 对 于 任意 的 yE Zz aW) E 
Pi] — dc 
接 下 来 对 于 任意 的 +,y, 有 : 


Pr[y | z] = Prk = Cy — x) mod 26] = 1 


26 
应 用 贝 叶 斯 定理 ,很 容易 计算 出 : 


Pis] Py La] 


所 以 这 个 密码 体制 具有 完善 保密 性 。 

下 面 考 察 一 般 情况 下 的 完善 保密 性 。 

使 用 贝 叶 斯 定理 ,对 于 所 有 的 zxEP 和 >EC, 则 有 : 

Pr[x | y] = Pr] 
等 价 于 对 于 所 有 的 xEP 和 EC, 则 有 : 
Pr[y | x] = Pr[y] 

这 里 可 以 合理 地 假设 对 于 所 有 的 y€ C. PrEy 1 0CU 4 Pr[y]=0, 则 密 文 y 不 会 出 
SU. RIAM E 中 去 掉 ) 。 

任意 固定 的 zEP, 对 于 任意 y€ Ct : 

Pr[y | zx] = Pr[y] >0 

成 立 。 
因此 ,对 于 任意 yEC, 一 定 至 少 存在 一 个 密 钥 K il e Co) — y. REALKI SC. 
在 一 个 密码 体制 中 ,因为 加 密 函 数 是 单 射 ,一定 有 |C| 三 |P|。 
定理 A.3 假设 密码 体制 (P,C,K,E,D) 满 足 |K|= 二 1C| 二 |P|, 这 个 密码 体制 是 完善 
保密 的 。 当 且 仅 当 每 个 密 钥 被 使 用 的 概率 都 是 1/1K|, 并 且 对 于 任意 的 -EP 和 yEC, 存 
在 唯一 的 密 钥 K 使 得 ei C2 — y. 

WEB]. 假设 这 个 密码 体制 是 完善 保密 的 。 由 以 上 可 知 ,对 于 任意 的 XEP 和 yEC, 至 少 
存在 一 个 密 钥 K 使 得 e,(x) 二 y。 因 此 不 等 式 : 

|C|-l {el(z):k E€ K} |<IK| 
但 是 这 里 假设 1C| 二 1K| ,因此 一 定 有 : 
| te GO: € K} |<IK| 

也 就 是 说 ,不 存在 两 个 不 同 的 密 钥 和 ,使 得 ex C Ser C) — ys 所 以 对 于 zxEP 和 
y EC, 刚 好 存在 一 个 密 钥 上 使 得 ei GO — y. 

记 n==|K|, 设 P={zx;:1i<n} 并 且 固定 一 个 密 文 yE C。 设 密 钥 为 ki 、ks、…、k, ,并且 
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er, Gr) — y 1LXi<Kn. 2H Ul i EEn G 
Pr zi Pr xi Pr[k = k: JPr[ xi 
Piala [Ly Ladi [z] L Tem [zi] 

考虑 到 完善 保密 的 条 件 Pros] yj 二 PrLzx;j], 这 里 PrLk;] 二 PrLyj,1i<n, 也 可 以 说 所 
有 的 密 钥 都 是 等 概率 使 用 的 (概率 为 PrLyj])。 

密 钥 的 数目 为 KK, 于 是 可 得 对 任意 的 kE K,Pr[k]=1/|K|。 

相反 地 ,如 果 两 个 假设 的 条 件 都 成 立 , 类 似 于 定理 A. 2 的 证 明 , 可 以 很 容易 得 到 密码 体 
制 是 完善 保密 的 。 


A.3 Wi ny m 


在 密码 学 的 发 展 历史 中 ,人 们 试图 设计 出 密 钥 可 以 加 密 相 对 长 的 明文 ( 即 用 一 个 密 钥 加 
密 多 个 消息 ) ,并 且 仍 然 可 以 保持 一 定 的 计算 安全 性 。 下 面 将 讨论 用 一 个 密 钥 加 密 多 个 消息 
会 有 什么 后 果 ,并 且 还 要 讨论 如 果 给 密码 分 析 员 足 够 的 时 间 ,进行 一 次 成 功 的 唯 密 文 攻击 有 
多 大 的 可 能 性 。 

WESE X AP [RUE EAS TELE AE Entropy), A] BEA A F Shannon 于 1948 年 创建 
A fei Be. di T LUE AE ROM ERA f XE PE (19 2807 BE fik 388 isEBESE A (09 PRIORE TEST. 

假设 离散 的 随机 变量 X 根据 特定 的 概率 分 布 从 有 限 集合 X 中 取 值 。 可 以 从 概率 分 布 
的 实验 结果 中 得 到 什么 信息 呢 ? 或 者 说 ,在 实验 发 生 之 前 ,结果 的 不 确定 性 如 何 呢 ? 这 个 性 
质 称 为 X BUSH HOO. 

下 面 给 出 个 具体 的 例子 描述 焙 的 概念 。 

假设 随机 变量 X. 代表 掷 硬 币 , 相 关 的 概率 分 布 是 PrLheads] = Pr[tails] 一 1/2。 

既然 可 以 将 “heads” 编 码 为 1, 将 "tails” 编 码 为 0, 那么 一 次 掷 硬 币 的 信息 或 者 焙 是 1 比 
特 。 用 同样 的 方式 ,次 独立 的 掷 硬币 的 箭 是 ”比特 , 即 冯 次 投掷 可 以 用 长 为 ”比特 的 比特 
串 进 行 编码 。 

下 面 给 出 稍微 复杂 一 点 的 例子 。 

假设 一 个 随机 变量 X, 取 3 种 可 能 的 值 zx .zs 、x ,概率 分 别 为 1/2、1/4、1/4。 对 这 3 种 
结果 最 有 效 的 编码 是 将 zz 表示 成 0,x; 表 示 成 10,zs 表 示 成 11。 那 么 编码 的 平均 比特 长 
度 是 : 


1 Ll | 
2Xltq X24 


ue 

上 面 的 例子 说 明 以 概率 2 “发 生 的 事件 可 以 编码 成 长 度 为 2 的 比特 串 。 一 般 地 ,可 以 
想象 以 概率 p 发 生 的 结果 可 以 编码 成 长 大 约 为 一 logsp 的 比特 串 。 对 于 任意 的 概率 分 布 为 
Di spe stt bu WIREH fit X ,将 一 logs p; 的 加 权 平 均值 作为 对 信息 的 度量 。 

定义 A.4 BREMIE X 在 有 限 集合 X 上 取 值 , 则 随机 变量 X DUAE XN: 


H(X) 一 一 >)Pr[Lzx] log:Pr[zx] 


z€X 
XETHBRI x8 XC UO EUR LIA UE E: 
考虑 到 y—0 时 log; y RAEN MAELK TE BUR AE AE REC ERU, (HAE HIT 
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lim log; y = 0 

对 于 某 些 工 可 以 令 Pr[r]—0, 

同时 考虑 到 选择 2 作为 指数 的 底 也 是 任意 的 ,选取 其 他 的 底 仅 仅 改 变 了 炉 的 常数 因子 。 

如 果 |X|==n 并 且 对 于 所 有 的 TEX,Pr[zx]==1/n, 那 么 H(X)==logsn。 

同样 ,容易 知道 对 于 任意 的 随机 变量 X,H(X) 宇 0。 

HH(X)=0 当 且 仅 当 对 于 某 一 个 xz。 EX,Pr[xoj]==1, 对 于 所 有 的 zx 关 zo ,Pr[xj]==0。 

下 面 考虑 密码 体制 中 不 同 部 分 的 焙 , 把 密 钥 看 成 在 K 上 取 值 的 随机 变量 k ,可 以 计算 炉 
电 (k)。 同 样 地 ,可 以 分 别 计算 同 明文 和 密 文 相关 的 炉 昌 (P) 和 H(C)。 

为 了 更 好 地 表示 密码 体制 中 的 箭 的 计算 方法 ,下 面 给 出 A. 2 节 中 例 A. 1 0948. 

例 A.2 ME. 


1 É c 3 
HOP) 1 X log; 1 1X log; 1 

È 3 , 

1 X (一 分 1 X (log; 3 — 2) 


— 2— Š x log ~ 0.81 


同 理 , 可 以 计算 得 出 HCKO —1.5. HCO) z1. 85, 


A.4 B8 nm TE 


ARCH 3E 3E 4p 28 — 9€ 55 63 eT JE A AE T EB o 
首先 描述 一 个 基本 结论 , 称 为 Jensen RER, 3X AP AS AE RAT RI EE FO p E E, 
Jensen 不 等 式 涉及 凸 函 数 , 下 面 给 出 其 定义 。 
定义 A.5 ( 凸 函 数 ) 区 间 I 上 的 实 值 函数 是 是 函数, 如 果 对 任意 的 x、yET 满足 : 
tty FEDE 
(set 


了 是 区 间 工 上 严格 的 凸 函 数 , 如 果 对 任意 的 xyET, Ay 满足 : 
rcty f» + f» 
f) 3 


定理 A.4 (Jensen 不 等 式 ) 假 设 f dé x8] I pb xESEBO PF Bs PR C 


dp a0. 1 imn A 


Yao s m us) 


HP n ELIK. MEHAK asa — ác RA ERRA o 
定理 A.5 假设 X 是 一 个 随机 变量 ,概率 分 布 为 piper pu HP p 0. 1<i<n; 
那么 : 
H(X) < logon 
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当 且 仅 当 p;—1/n. 1xCisn 时 ,等 式 成 立 。 
证 明 : 根据 Jensen 不 等 式 : 


H(X)—-— 5n log; p; 
i=l 
SEN 
25 log; P 
< log: > (5s Xx) 


= log;n 
当 且 仅 当 p; —1/n. 1i 时 ,等 式 成 立 。 命 题 得 证 。 
定理 A.6 HC(X,Y)<H(X) 十 HC(Y), 当 且 仅 当 X 和 YY 统 计 独 立时 ,等 式 成 立 。 
证 明 : 假设 X 取 值 zx;,，1 近 ;和 mm， Y 取 值 y;， 1<j<n。 记 p;=Pr[X=zxi], 1<i<m; 
g;j7Pr[Y yj], 1<j<n。 id r; =Pr[X =x: Y yj], 1<<i<m, 1 二 jn( 这 是 联合 概率 
分 布 )。 


可 得 : 
Pe Su eren. q 一 Sl 
做 如 下 计算 : E e 
HOO + HQ) =— (X» log; p; + Xs lona) 
HEN (x» : rs log; pi +S Srs log) 
E XN log: piq; 
=1 j=1 
另 有 : 
HO XXn loger 
于 是 有 : i1 j=1 
HOGY) 一 HOO - HY) = 55 rj logs ut » Dr log; 5d; 


当 取 等 号 时 ,存在 常数 c 对 于 所 有 的 ;7 使 得 pig;/rg —c. AH: 
2 ru = È 2 pas —1 
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于 是 有 c= 二 1。 因 此 , 当 且 仅 当 r; — piq; 时 等 式 成 立 , 也 就 是 当 且 仅 当 : 
PLX = aY | 二 [Y=] 
lim. 1 二 j 二 n。 这 说 明 X fn Y 是 统计 独立 的 。 命 题 得 证 。 
定义 A.6 (RRR X MY 是 两 个 随机 变量 ,对 于 Y 的 任何 固定 值 y, 得 到 一 个 
X 上 的 (条 件 ) 概 率 分 布 , 记 相 应 的 随机 变量 为 X|y。 显 然 : 
HO | y) = 一 >)Pr[z | y]log;Pr[x | y] 
定义 条 件 丧 H OX | YO gil HXI VPA y 的 加 权 平 均值 : 
H(X | Y) =— N > Pr[y]Pr[z | y] log:Pr[Lz | y] 
RIFA T Y 揭示 的 X 的 平均 信息 量 。 
根据 以 上 定义 和 定理 ,显然 还 可 以 得 到 下 面 的 定理 和 推论 。 
定理 A.7 


H(X,Y) = HOD + H(X | YO 
推论 A.2 HOX.YOHOO , 当 且 仅 当 X 和 了 统计 独立 时 ,等 式 成 立 。 


A.5 伪 密 钥 和 唯一 解 距离 


AH HCK | C) ERAI RESH E 9 BE ,可 度量 给 定 密 文 下 密 钥 的 不 确定 性 。 
定理 A.8 设 (P,C,K,E,D) 是 一 个 密码 体制 ,那么 : 
H(K | O = H(K)+H(P)— H(C) 
WEB]. 根据 密码 系统 的 定义 有 : 
H(K,P,C) = H(C | K,P)+H(K,P) 
由 于 ySe Go ! HI as 45 R88] SCE — AE 9$ 3C. PT IH + 
H(C| K.P) —0 
因此 : 
H(K,P,C) = H(K,P) 
K 和 PP 是 统计 独立 的 ,因此 有 : 
H(K.P) = H(K) + H(P) 
TE: 
H(K,P,C) = H(CK.P) = HOO + H(P) 
同 理 , 由 于 密 钥 和 密 文 唯一 决定 明文 ,有 H(PIK,C) 二 0, 可 得 : 
H(K,P.C) = H(CK,C) 
进一步 可 以 得 出 : 
H(K | O= H(K,C)— HCO) 
= H(K,P.C) — HCO) 
= HOO -- HC) — H(C) 
例 A.3 在 A.4 节 中 已 经 计算 出 : 
H(Q20.8. H(K)—1.5. HOD z 1.85 
HEM A. 8 可 计算 出 : 
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H(K | O = HOO + HCP) — HOO) ~ 1. 5-7 0.81 — 1.85 ~ 0. 46 
38 RPE H ERTE th AR PETI (Et np ELSEVIER 
首先 需要 通过 贝 叶 斯 定理 计算 概率 Pr[K =k | y —j 15193, 1354854, 计算 结 果 
WTF: 
Pr[k, |1] =1 Pr[k:|1]=0  Pr[A |1] =0 


Pih |2] = Ê Pih | 2] = + Pr[ks 12]—0 
P&13]70 Prik |3]= $ Ps |3] 一 十 
接 下 来 计算 : 
HCK|IC)=1ix0+ xo0.59+ Lx0o.84 3: x0 0.46 
8 16 4 16 t 


np W ,两 个 结果 是 一 致 的 。 

定义 A.7 ( 伪 密 钥 ) 设 (P,C,K,E,D) 是 一 个 密码 体制 ,明文 串 为 riran Ai 
密 钥 加 密 , 得 到 的 密 文 串 为 mw ya…y,。 考 虑 唯 密 文 攻击 ,假设 攻击 者 (Eve) 有 无 限 的 计算 资 
源 并 且 知 道明 文 是 哪 一 种 自然 语言 ,如 英语 。 一 般 来 说 ,Eve 能 排除 某 些 密 钥 ,但 仍 存在 许 
多 可 能 的 密 钥 ,在 这 其 中 只 有 一 个 密 钥 是 正确 的 ,而 那些 可 能 的 但 不 正确 的 密 钥 称 为 伪 

例 A.4 假设 Eve 得 到 密 文 “WNAJW”, 这 个 密 文 是 使 用 移 位 密码 得 到 的 。 

容易 知道 ,两 个 有 意义 的 明文 串 .分别 是 “river” 和 ”arena”, 其 对 应 的 可 能 的 加 密 密 钥 为 
(二 5) 和 ww( 二 22)。 这 两 个 密 钥 , 一 个 是 正确 的 密 钥 ,一 个 是 伪 密 钥 。 

下 面 将 推导 伪 密 钥 数 量 的 期 望 下 界 。 

首先 ,定义 自然 语言 工 的 炉 ( 每 字母 ) 的 含义 , 记 为 Hi。HHi 应 该 是 对 有 意义 的 明文 串 
中 的 每 个 字母 平均 信息 的 度量 (注意 ,一 个 随机 的 字母 串 具 有 的 炉 是 10g; 26824. 70)。 作 为 
了 Hi 的 “一 阶 ” 近 似 值 ,这 里 使 用 HCPOo Xo. L 是 英语 的 时 候 , 通 过 使 用 第 1 章 中 的 概率 
分 布 表 可 得 : 

H(P) ~ 4.19 

当然 d HORAE Se B Je BTE Sr HR AE SERE AH Oe PEUX IP F6. DUAL. TESTE 
中 ,字母 “Q” 后 面 总 是 跟着 字母 “U”。 作 为 “二 阶 ” 近 似 值 ,在 计算 所 有 字母 分 组 的 概率 分 布 
的 炉 , 然 后 除 以 2。 一 般 地 ,定义 P" 为 构成 所 有 nn 字母 分 组 的 概率 分 布 的 随机 变量 。 对 语言 
REMATE. 

定义 A.8 (Bit LiH R H HIDE X: 

Pi lm BOE 
n= n 

自然 语言 工 的 元 余 度 (Redundacy) 定 义 为 : 


em H, 


1— 

log; | P | 

值得 注意 的 是 Hi 中 度量 了 自然 语言 L PEDERE ER .— A BEBL RU HE HEC 
(EH log: |P|。Ri 度 量 了 “多 余 字 母 "的 比例 , 记 为 元 余 度 。 

在 英语 中 ,可 以 通过 大 量 字 母 分 组 的 列表 和 它们 的 频率 给 出 H CP?) K Aii bt An 
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HCP?)/2223. 90, 

RI DLAESOG SES SEAT EHE PU 36 13D a AE Hi 的 估计 。 事 实 上 ,各 种 实验 已 经 得 
出 了 一 个 经 验 性 的 结果 : 1. 0 Hi «1. 5; 也 就 是 说 ,英语 的 平均 信息 内 容 大 概 是 每 字母 
1—1.5 比特 。 

假定 使 用 1. 25 作为 Hi 的 估计 值 ,可 得 元 余 度 为 0.75。 这 意味 着 英语 有 75%% 的 宛 余 
度 。( 当 然 这 不 是 说 任意 地 从 英语 文本 中 去 掉 3/4 的 字母 ,还 可 以 阅读 ; 而 是 说 对 一 个 充分 
大 的 n, 可 以 找到 一 种 编码 方法 ,将 英语 原文 压缩 到 原来 长 度 的 1/4。) 

给 定 K 和 已 "的 概率 分 布 ,C" 是 密 文 的 字母 分 组 ,可 以 定义 CN ICE REC n 字母 分 组 
的 随机 变量 。 

给 定 y€ C ,定义 : 

K(y) = (k € Ki 存在 x € P" ,使 得 Pr[x] > 0,er(x) = y) 

也 就 是 说 ,K(y) 是 一 个 密 钥 的 集合 ,在 这 些 密 钥 下 y 是 长 为 的 有 意义 的 明文 串 的 密 
文 ; 或 者 说 ,K(y) 是 密 文 为 y 的 可 能 密 钥 的 集合 。 

如 果 y 是 被 观察 的 密 文 串 ,那么 伪 密 钥 的 个 数 是 |K(y)| 一 1, 因 为 只 有 一 个 可 能 的 密 钥 
是 正确 的 密 钥 。 伪 密 钥 的 平均 数目 (在 所 有 可 能 的 长 为 的 密 文 串 上 ) 记 为 5, ,其 值 的 计算 
WF: 


s= MPribyKI KG) |- D 


yec" 
= DPrLy] | KCy) | 一 >) PrCy] 
»ec" ser 
— X Pr[y] | KC» |- 1 
sec 
根据 定理 A.8, 有 : 
HK | C) — HR)+ HCP) = HC) 
T ps E ftit : 
HP") zz nH, = nO — R, )log: | P | 
其 中 ,n 充分 大 ,当然 : 


H(C) < nlog; | C | 
MR C] — [P | , 密 文 空间 与 明文 空间 相等 , 则 有 : 
H(OK | CO > HOO —nR,log; | P | (A. 1) 
将 HOK| CRUDS 8 83 (0 41-3365 , 关联 起 来 ,计算 如 下 : 
H(K | C= >)Pr[y]HCK | y) 


yec" 


< J Pr[y] log: | KG) | 
yec" 


= log; $JPr[y] | KCy) | 


sc 
= log: (s, +1) CA. 2) 
其 中 ,对 于 函数 f(z) 二 logsx 用 到 了 Jensen 不 等 式 , 于 是 得 到 不 等 式 : 
H(K | C) < log G, +1) (A. 3) 
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HRA. DARA. 2) 结 合 起 来 ,可 得 
log: (5, +1) = H(K) — nRilog; | P | 
考虑 等 概率 选取 密 钥 的 情况 (此 时 互 ( 氏 ) 取 最 大 值 ) ,将 得 到 下 面 更 具体 的 结论 。 
定理 A.9 设 (P,C,K,E,D) 是 一 个 密码 体制 ,1C| 二 1P| 且 密 钥 是 等 概率 选取 的 。 设 
Ri 表示 明文 的 自然 语言 的 元 余 度 ,那么 给 定 一 个 充分 长 的 密 文 串 , 伪 密 钥 的 期 望 数 满足 : 


zk] 
spia 


io simt. DEL 1 以 指数 速度 趋 近 0; FR n dH CP /» WAEA H 94 
计 不 够 好 ,此 时 上 面 的 估计 可 能 不 大 精确 。 

定义 A.9 一 个 密码 体制 的 唯一 解 距离 ,定义 为 使 得 伪 密 钥 的 期 望 数 等 于 零 的 ”的 值 ， 
ie E mm* 即 在 给 定 是 够 的 计算 时 间 下 ,攻击 者 能 唯一 计算 出 密 铀 所 需 密 文 的 平均 量 。 

如 果 在 定理 A.9 中 令 忆 一 0, 解 出 由 可 以 得 到 唯一 解 距离 的 一 个 近似 估计 , 即 ， 


log: |K | 
Ri log: | P | 


例 A.5 在 代 换 密码 体制 中 ,|PI 王 26,| 开 | 一 26。 如 果 取 Ri 二 0.75, 就 得 到 唯一 解 距 
离 的 估计 ， 


no Az 


no ~ 88. 4/ (0.75 X 4. 7) ~ 25 
这 表明 给 定 的 密 文 串 的 长 至 少 是 25 时 ,通常 解密 结果 才 是 唯一 的 。 
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输入 明文 : 
“00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee ff" 
明文 是 128 位 ,于 是 N 二 4。 明文 先进 行 预 处 理 , 得 到 初始 State: 
0 44 88 cc 
11 55 99 dd 
22 66 aa ee 
3 77 bb ff 
输入 密 钥 k: “00 01 02 03 04 05 06 07 08 09 0a Ob Oc Od 0e Of" 
密 钥 是 128 位 ,于 是 Ni 二 4。 类 似 地 , 密 钥 进行 预 处 理 : 
0 04 08 0c 
01 05 09 Od 
02 06 0a Oe 
03 07 Ob of 
密 钥 & 扩 展 成 包含 N, 十 1 二 11 个 子 密 钥 的 扩展 密 钥 w[ 4.44]: 
00 04 08 Oc d6 d2 da d6 b6 64 be 68 b6 d2 6c 04 47 95 f9 fd 3c a9 
01 05 09 Od aa af a6 ab 92 3d 9b 30 ff c2 59 69 {f7 35 6c O5 aa 9f 
02 06 0a Oe 74 72 78 76 cf bd c5 b3 74 c9 Oc bf f7 3e 32 8d a3 9d a 
03 07 Ob Of fd fa fl fe Ob fl 00 fe 4e bf bf 41 bc 03 bc fd e8 eb 
5e f7 a7 Oa 14 e3 44 4e 47 a4 e0 ae 54 f0 10 be 13 e3 
39 a6 55 a3 f9 5f Oa a9 43 lc 16 bf 99 85 93 2c 11 94 
Of 92 3d 1f 70 e2 df cO 87 65 ba 7a 32 57 ed 97 ld 4a 
7d 96 cl 6b la 8c 4d 26 35 b9 f4 d2 dl 68 9c 4e 7f 17 
首先 是 AES 加 密 。 
第 0 轮 ( 初 始 轮 ) 明 文 的 初始 State 与 wL0] 进 行 异 或 : 
0 40 80 c0 
50 90 do 
AddRoundKey(O0) ; 
60 a0 e0 
30 70 bo f0 
第 i 轮 : 
63 09 cd ba 63 09 cd ba 
ca 53 60 70 . 53 60 70 ca 
SubBytes(1); ShiftRows(1) : 
b7 dO e0 el e0 el b7 do 


04 51 e7 8c 8c 04 51 e7 
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bl S57- 0 t 89 85 2d cb 
72 f5 be b9 d8 5a 18 12 
MixColumnsC1) : AddRoundKey(C1): 
64 bc 3b f9 10 ce 43 8f 
15 92 29 la e8 68 d8 e4 
第 2 轮 : 
a7 97 d8 1f a7 97 d8 1f 
61 be ad c9 be ad c9 61 
SubBytesC2); ShiftRows(2) : 
ca 8b la 73 la 73 ca 8b 
9b 45 61 69 69 9b 45 61 
ff 31 64 77 49 55 da 1f 
87 d8 51 3a 15 e5 ca Oa 
MixColumns(2) ; AddRoundKey(2) ; 
96 6a 51 d0 59 d7 94 63 
84 51 fa 09 8f a0 fa f7 
第 3 轮 : 
3b fe 57 c0 3b fe 57 c0 
d9 74 67 d9 74 67 59 
SubBytes(3); ShiftRows(3) : 
cb 0e 22 fb 22 fb cb Oe 
73 e0 2d 68 68 73 e0 2d 
4c Í[Í7 2c 53 fa 25 40 57 
9c 71 3f 4d 63 b3 66 24 
MixColumns(3) : AddRoundKey(3) ; 
le f0 86 f2 6a 39 8a 4d 
66 76 8e 56 28 c9 31 17 
第 4 de: 
2d 3f 09 5b 2d 3f 09 5b 
6d 33 36 . 6d 33 36 fb 
SubBytesC4) ; ShiftRows(4) ; 
12 7e e3 7e e3 02 12 
34 dd c7 f0 f0 34 dd c7 
63 fc 97 75 24 69 6e 88 
85 53 be 47 72 66 d2 42 
MixColumns(4) ; AddRoundKey(4) : 
b; 8d 47 d6 40 b3 75 5b 
9f f9 8e 91 23: fa 32 6r 
第 5 轮 : 
36 f9 9f c4 36 f9 9f c4 
40 33 b5 2c 33 b5 2c 40 
SubBytes(5) : ShiftRows(5) 
09 6d 9d 39 9d 39 09 6d 
26 2d 23 50 50 26 2d 23 
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f4 32 75 ld c8 9b 25 bO 
c e5 fl d0 16 7a 02 26 
MixColumns(5) : AddRoundKey(5) : 
d4 54 d6 3b 77 c9 79 19 
54 dO c5 3c bc 3b 92 96 
第 6 轮 : 
e8 14 3f e7 e8 14 3f e7 
47 da 77 f7 da 77 f7 47 
SubBytes(6) : ShiftRows(6) : 
f5 dd b6 d4 b6 d4 f5 dd 
65 e2 4f 90 90 65 e2 4f 
98 00 6b 8e c6 f7 cc 84 
16 f8 2c 5a 2f 5e 79 f9 
MixColumns(6) ; AddRoundKey(6) ; 
ee 7f 04 do el ed 39 cf 
74 55 9c 36 09 c3 5d 5d 
第 7 轮 : 
4 68 4b 5f b4 68 4b 5f 
15 58 b6 99 58 b6 99 15 
SubBytes(7): ShiftRows(7): 
f8 55 12 8a 12 8a f8 55 
01 2e 4c 4c 4c 01 2e 4c 
c5 9a f0 98 di 79 b4 d6 
7e 9b 5f c6 87 c4 55 6f 
MixColumns(7) : AddRoundKey(?7) : 
lc d2 4b 34 6c 30 94 f4 
15 86 e0 39 Of Oa ad 1f 
第 8 de: 
3e b6 8d f6 3e b6 8d f6 
17 lè fe a8 . Jc fe a8 17 
SubBytes(8) ; ShiftRows(8) : 
50 04 22 bf 22 bf 50 04 
76 67 95 c0 c0 76 67 95 
[ba al d5 5f] fd 05 35 f 
a0 f9 51 41 e3 e5 47 fe 
MixColumns(8) ; AddRoundKey(8) : 
3d b5 2c 4d ba dO 96 37 
e7 6e ba 23] d2 d7 4e fl 
第 9 4e: 
[54 6b 96 al] 54 6b 96 al 
11 d9 a0 bb d9 a0 bb 11 
SubBytes(9) ; ShiftRows(9) ; 
f4 70 90 9a 90 9a f4 70 
[b5 0e 2f alj al b5 Oe 2f 
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e9 02 lb 35 d f2 0b 8b 
f7 30 12 3e e b5 61 10 
MixColumns(9) : AddRoundKey(9) ; 
4e 20 cc 21 c 77 21 b6 
ec f6 12 c7 3d 9e 6e 89 
第 10 轮 (最 后 一 轮 ) : 
7a 89 2b 3d 7a 89 2b 3d 
9f d5 ef d5 ef ca 9f 
SubBytesC10); ShiftRows(10) : 
10 f5 fd 4e fd 4e 10 f5 
27 Ob 9f a7 a7 27 Ob 9f 
69 6a d8 70 
7b cd b4 
AddRoundKey(10) : 
e0 04 b7 c5 
d8 30 80 5a 
加 密 后 的 密 文 是 : 
“69 c4 e0 d8 6a 7b 04 30 d8 cd b? 80 70 b4 c5 5a" 
下 面 是 AES 的 解密 过 程 。 
密 文 的 初始 State: 
69 6a d8 70 
c4 7b cd b4 
e0 04 b7 c5 
d8 30 80 5a 
第 0 轮 : 
7a 89 2b 3d 
d5 ef ca 9f 
AddRoundKey(0) ; 
fd 4e 10 f5 
a7 27 Ob 9f 
第 1 轮 : 
7a 89 2b 3d bd f2 0b 8b 
9f d5 ef ca 6e b5 61 10 
InvShiftRowsCD : InvSubBytesCD) : 
10 f5 fd 4e 7c 77 21 b6 
27 0b 9f a7 3d 9e 6e 89 
e9 02 1b 35 54 6b 96 al 
f7 30 f 3c : d9 a0 bb 11 
AddRoundKey(1) : InvMixColumns(1); 
4e 20 cc 21 90 9a f4 70 
ec f6 f2 c7 al b5 Oe 2f 
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第 2 轮 : 
54 6b 96 al fd 05 35 f 
. 11 d9 a0 bb e3 e5 47 fe 
InvShiftRows(2) ; InvSubBytes(2) ; 
f4 70 90 9a a dO 96 37 
b5 Oe 2f al d2 d7 4e fl 
a al d5 5f 3e b6 8d f6 
a0 f9 51 41 lc fc a8 17 
AddRoundKey(2); InvMixColumns(2) : 
3d b5 2c 4d 22 bf 50 04 
e7 6e ba 23 c0 76 67 95 
第 3 轮 : 
3e b6 8d f6 dl 79 b4 d6 
: 17 lc fc a8 87 c4 55 6f 
InvShiftRowsC3) : InvSubBytesC3) : 
50 04 22 bf c 30 94 f4 
76 67 95 cO Of Oa ad 1f 
c5 9a f0 98 b4 68 4b 5f 
7e 9b 5f c6 : 58 b6 99 15 
AddRoundKey(3) : InvMixColumns(3) : 
lc d2 4b 34 12 8a f8 55 
15 86 e0 39 4c 01 2e 4c 
第 4 轮 : 
b4 68 4b 5f c6 f7 cc 84 
15 58 b6 99 2f 5e 79 f9 
InvShiftRows(4) ; InvSubBytesC4) ; T 
f8 55 12 8a el ed 39 cf 
01 2e 4c 4c 09 c3 5d 5d 
98 00 6b 8e e8 14 3f e7 
16 f8 2c 5a : da 77 f7 47 
AddRoundKey(4) : InvMixColumns(4) : 
ee 7f 04 d0 b6 d4 f5 dd 
74 55 9c 36 90 65 e2 4f 
第 5 轮 : 
e8 14 3f e7 c8 9b 25 bO 
: 47 da 77 f7 16 7a 02 26 
InvShiftRows(5) ; InvSubBytesC5) ; 
f5 dd b6 d4 77 c9. 79 19 
65 e2? 4f 90 bc 3b 92 96 
f4 32 75 1d 36 f9 9f c4 
bc e5 fl do . 33 b5 2c 40 
AddRoundKey(5) : InvMixColumns(5) : 
d4 54 d6 3b 9d 39 09 6d 
54 dO c5 3c 50 26 2d 23 
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第 6 轮 : 
36 f9 9f c4 4 69 6e 88 
40 33 b5 2c 72 66 d2 42 
InvShiftRows(6) ; InvSubBytes(6) ; 
09 6d 9d 39 40 b3 75 5b 
26 2d 23 50 3 [fa 32 6c 
63 fc 97 75 d 3f 09 5b 
85 53 be 47 . 6d 33 36 fb 
AddRoundKey(6) ; InvMixColumns(6) ; 
b7 8d 47 d6 7e e3 02 12 
9f f9 8e 91 f0 34 dd c7 
第 7 轮 : 
d 3f 09 5b fa 25 40 57 
: fb 6d 33 36 63 b3 66 24 
InvShiftRowsC?7) : InvSubBytesC7) ; 
02 12 7e e3 a 39 8a 4d 
34 dd c7 f0 8 c9 31 17 
4c f7 2c 53 3b fe 57 c0 
9c 71 3f 4d i d9 74 67 59 
AddRoundKey(?): InvMixColumns(C?) : 
le fo 86 f2 22 fb cb Oe 
66 76 8e 56 68 73 e0 2d 
第 8 轮 : 
3b fc 57 c0 49 55 da lf 
: 59 d9 74 67 15 e5 ca Oa 
InvShiftRowsC8) : InvSubBytes(8) : 
cb 0e 22 fb 59 d7 94 63 
73 e0 2d 68 8f a0 fa f7 
ff 31 64 77 a7 97 d8 1f 
87 d8 51 3 bi d c9 61 
AddRoundKey(8) ; : InvMixColumns(8) ; os 
96 6a 51 do la 73 ca 8b 
84 51 fa 09 69 9b 45 61 
第 9 轮 : 
a7 97 d8 1f 9 85 2d cb 
61 be ad c9 d8 5a 18 12 
InvShiftRows(9); InvSubBytes(9) ; 
ca 8b la 73 ce 43 8f 
9b 45 61 69 e8 68 d8 e4 
5f 57 f ld 63 09 cd ba 
72 f5 be b9 : 53 60 70 ca 
AddRoundKey(9) ; InvMixColumns(9) ; 
64 bc 3b f9 e0 el b7 do 
15 92 29 1a 8c 04 51 e7 
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第 10 轮 ( 最 后 一 轮 ) : 


63 

ca 
InvShiftRowsC10) : 

b7 

04 
AddRoundKey(10); 
解密 后 的 明文 是 : 


“00 11 


EE 


22 33 44 55 66 77 


InvSubBytesC10); 


88 99 


aa 


bb 


cc 


dd 


40 
50 
60 
70 


ee 


80 
90 
a0 
bo 


i" 


cO 
do 
e0 
fo 
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